既存の対策をすり抜ける！巧妙なQRコードフィッシングに注意

QRコードを用いたフィッシングメールの例。テキストに見える部分も含めて全て1枚の画像となっている

　米国のセキュリティ企業INKYは、QRコードを用いたフィッシング詐欺について報告した。

　報告によると、フィッシングサイトに遷移するリンクが仕込まれたQRコードは、受信者が所属する(企業などの)組織やマイクロソフトなどの有名企業を騙るメールアドレスから届いたEメールの本文内に表示されている。その内容は二要素認証の設定やパスワードの変更などを促し、対応を怠った場合の罰則を記載するなど緊急性を煽る内容で、受信者にQRコードを読むよう仕向けるというもの。

　セキュリティ上のリスクやペナルティをちらつかせて受信者を騙す手法はフィッシングメールの手口としてよく見かけるものだが、INKYが報告したQRコードフィッシングの特徴は、本文に見えるものがすべてが1枚の画像であること。既存のメールセキュリティシステムのほとんどはテキストを手がかりに検出するのだが、このフィッシングはすべてが画像なので、その対策をすり抜けてしまう。

　メールソフトやサービスによってはメールの画像を本文内に直接表示しない設定にしているものもあるが、用意していないものがあり、その場合、標的は、クリックできるリンクや添付ファイルがないことから、メールの文章を信用してしまう可能性があると注意喚起している。

　INKYでは対策として、メールに記載されているものとは別の手段で送信者に確認する、送信者のメールアドレスをよく確認する、よく見ずにQRコードをスキャンしないなどの基本的な行動を推奨している。さらに今回のケースでは、メール本文が選択できる文字列かどうかを確かめることも有効とした。