Kaspersky Labは9月27日(現地時間)、「Use of QR codes in email phishing|Securelist」において、フィッシングメールでQRコードが悪用される理由について伝えた。通常、メールではリンクを本文に書き込めるため、わざわざQRコードに変換して画像を添付したりHTMLメールに埋め込んだりしない。にもかかわらず、サイバー犯罪者は電子メールにQRコードを悪用することがあるとして、その理由と現状を解説している。
Kaspersky LabはQRコードをフィッシングメールキャンペーンで使用した最初の試みを2021年に記録している。このとき、QRコードは、FedExやDHLなどの国際配送サービスからの電子メールを装った詐欺メールに悪用され、QRコードを読み込むと偽の関税の支払いを求められたとされる。このキャンペーンは2022年半ばまでには収束したが、2023年の春に新たなキャンペーンが観測されている。
サイバー犯罪者があえてQRコード利用する理由として、Kaspersky Labはセキュリティソリューションによる検知を回避できる可能性があることを挙げている。QRコードを含んだメールはセキュリティソリューションからすると、画像ファイルが添付された通常のメールと外見上は同じで、メール本文にリンクもないため検出およびブロックすることは簡単ではないとされる。
また、ほとんどのユーザーがスマートフォンのカメラからQRコードを読み込むことを選択するため、モバイルブラウザのアドレス欄からはリダイレクト先を見落とす可能性があり、これをサイバー犯罪者が期待している可能性も指摘されている。
Kaspersky Labは一般的に電子メールでQRコードが利用されることはないため、QRコードを含んだメールはそれだけで怪しまれる可能性があるとしている。また、QRコードをデコードできる装置やソフトウェアが必要で煩わしいこともあり、実際にQRコードを読み取るユーザーは多くないと推測されている。
それでも、サイバー犯罪者からは悪用が簡単で利点もあることから、今後特定の標的に合わせたキャンペーンで攻撃に利用される可能性があるとして注意を促している。企業はこのような攻撃から従業員やシステムを守るため、QRコードを含むフィッシングメールについて教育することが望まれている。