【新機能】QRコードを用いたフィッシング攻撃の検知

プルーフポイントは、QRコードフィッシング攻撃からの保護を支援するインラインのメール配信前QRコード検出エンジンを導入

QRコードフィッシングは、キッシング（quishing）とも呼ばれ、受信トレイを襲う最新の攻撃手法です。この新たな脅威は、レガシーのEメールセキュリティの検知を回避することができ、攻撃を直接ユーザーに送り込むことができます。Eメールフィッシング、経営陣へのなりすまし、スピアフィッシング、 ビジネスメール詐欺 (BEC),ビジネスメール詐欺（BEC）と並んで、この脅威はセキュリティおよびITチームにとって最大の関心事の1つとなっています。

これに対応するため、プルーフポイントはQRコードを用いた脅威の検出と阻止のための新しいインライン・サンドボックス機能を発表しました。ふるまい解析エンジンとサンドボックス検知エンジンをサポートするだけでなく、悪意のあるQRコードのメール配信前・メール配信後のスキャンも提供します。これらの機能を組み合わせることで、この新たな脅威ベクトルをより正確に検知し、より的確に防御することができます。ほとんどのAPIベースのメールセキュリティツールは行動シグナルに依存しているため、疑わしいQRコードのメールを検出できるのは、それがユーザーの受信トレイに配信された後になります。これに対し、プルーフポイントは配信前に攻撃を阻止するため、脅威がユーザーの受信トレイに届くことはありません。

このブログポストでは、悪意のあるQRコードによるフィッシングとその検知について知っておくべきこと、そしてプルーフポイントがどのように役立つかを説明します。
 

なぜQRコードを用いるのか？

マクロを悪用したマルウェアの配信を防ぐため、マイクロソフトがマクロを無効にしたことで、攻撃グループ（脅威主体）は、悪意のあるQRコードなど、さまざまな新しい攻撃配信テクニックをテストし始めました。QRコードは、消費者とつながり、エンゲージメントを促進する迅速かつ簡単な方法としてマーケティング担当者に利用され、私たちの日常生活の一部となっており、現在では小売店、航空券、非接触型メニュー、支払い手段として、さまざまな場所で利用されています。

そして、QRコードがサイバー攻撃に悪用されることがあることはあまり知られておらず、最近のScantrustのQRコード調査によると、「QRコードユーザーの80％以上がQRコードは安全だと思う」と回答しています。このようなQRコードに対するユーザーの信頼を攻撃者は悪用しています。また、QRコードの画像では悪意のあるURLを従来のＥメールセキュリティツールでは判断できず、検知が非常に困難になっています。
 

QRコードフィッシングとは？

QRコード詐欺とは、攻撃者が悪質なQRコードフィッシングキャンペーンを行い、ユーザーを騙して悪質なURLに誘導することです。これによりユーザーは悪意のあるウェブサイトに誘導され、認証情報を取得されたり、マルウェアをデバイスにダウンロードされたりします。このような攻撃キャンペーンには、支払い詐欺、小包詐欺、電子メール詐欺、そしてホリデーシーズンには寄付金詐欺も含まれます。QRコードはどれも似ているため、発見が難しく、ユーザーは簡単に騙されてしまいます。

図1：QR詐欺の一般的な仕組み

 

QRコード攻撃はなぜ有効なのか？

レガシーなメールセキュリティプロバイダやAPIベースのメールセキュリティツールのほとんどは、このような攻撃を検知するのが非常に困難です。なぜなら、これらのツールは、悪意のあるQRコード画像内に隠されたリンクについてはスキャンをしないからです。

この攻撃方法はまた、新たなセキュリティの盲点を生みだしています。QRコードは、電子メールが配信される場所とは別のスマートフォンなどのデバイスでスキャンされます。そして、スマートフォンには、このような攻撃を検知・防止するために必要な強固なセキュリティ保護機能が搭載されている可能性が低いのです。このため、メールセキュリティツールには、フィッシングメールがユーザーの受信トレイに届く前にブロックするためのQRコード検出機能が不可欠です。APIベースのツールのように、メッセージが配信後にスキャンされる場合、ユーザーが検知より先に感染してしまう可能性があります。

 

配達後のQRコード検知のみのリスク

配信後の検知専用のメールセキュリティ ツールは、QRコードフィッシングのメールを「検出してブロックする」と謳っていますが、実際には不可能です。不審なQRコードの検出は可能ですが、それは脅威がユーザーの受信トレイに配信された後です。さらに、これらのツールは疑わしいQRコードをサンドボックス解析しません。つまり、既知のIoCだけに頼った検知では多くの脅威を見逃しており、企業にとってより大きなリスクになります。

またリスクを増大させるだけでなく、セキュリティチームの作業負荷も増やしてしまいます。これらのツールは行動異常のみに依存するため、多数の正当なビジネスメールにフラグを立て、多くの誤検出を発生させます。つまり、セキュリティチームやITチームにとっては、すでに脅威のアラートの嵐に直面しているにもかかわらず、さらに多くの仕事が増えることになります。

つまり、配信後の検知アプローチは、今日の近代的な企業のニーズに合わせて拡張できず、非常にコストがかかるのです。そこでプルーフポイントは、はるかに効果的でスケーラブルなアプローチを考え出しました。
 

プルーフポイントの革命：悪意のあるQRコードをインラインで配信前にサンドボックス解析

QRコードによるフィッシング攻撃は、より高度になっているだけでなく、急速なペースで増殖しています。そのため、プルーフポイントはこのような攻撃を阻止するため、迅速な技術革新を行っています。プルーフポイントが新たに提供を開始したQRコード検知・防止機能は、徹底的な防御アプローチにより、企業をこうした攻撃から守ります。図 2 は、当社のアプローチの仕組みを示しています。

図2：QRコードの検出と防止に対するプルーフポイントの配信前アプローチ

ステップ1：プルーフポイントは、行動AI検知エンジンを使用して、送信者、受信者、ヘッダー、画像、URLリンク、添付ファイルなど、メッセージが悪意のある可能性を示す主要なメッセージ属性を特定します。これらの属性を分析することで、当社の23万社のお客様において、1日あたり数千件のQRコード攻撃を検出し、ブロックすることができます。そして、これらの悪質なQRコードメールがユーザーの受信トレイに配信される前に、すべてこの解析を実行しています。

図3：Proofpointは行動AIと脅威インテリジェンスのシグナルを利用して、悪意のあるQRコードを検出・ブロックする

ステップ2：新しいインラインの配信前QRコード検出エンジンにより、プルーフポイントはメール検知のレイヤーを追加し、より詳細に分析します。具体的には、不審なメッセージ内の画像だけでなく、添付されたPDFやWord文書内のQRコードをスキャンして解析することで、悪質なQRコードフィッシング攻撃をより正確に検出することができます。

QRコード自体からエンコードされたURLを抽出することで、疑わしいURLを自動的にサンドボックス解析し、悪意のあるURLかどうかを判断することができます。他のメールセキュリティソリューションとは異なり、ペイロードにつながるURLだけでなく、すべてのURLをサンドボックス化します。電子メールに悪意のあるペイロードが含まれている場合は、攻撃的な電子メールをブロックします。悪意がないと判断された場合は、ユーザーの受信トレイへのメール配信を許可します。

図4：ProofpointのQRコード検出フォレンジックの実例

配達後のQRコードによる脅威報告が簡単になりました

配信後のQRコード検知と自動修復に加え、プルーフポイントには、ユーザーがデスクトップ、ラップトップ、モバイルデバイスから悪意のあるQRコード付きメールを直接報告できる新機能も搭載しました。そのため、QRコード付きのメールがユーザーの受信トレイに届き、不審だと思った場合、メールのUI内からメールを報告することができます。これにもとづき、配信後に疑わしいQRコードをサンドボックス解析をおこないます。悪意のあるメールであることが判明した場合、そのメールは自動的に隔離され、会社全体の全ユーザーの受信トレイから削除されます。
 

AIとQRコード検出への投資からリターンを得る

Eメールは依然として最大の脅威ベクトルであり、QRコードによるフィッシング攻撃は増加の一途をたどっています。これらの脅威から保護するためには、これらのメールがユーザーに届かないようにする必要があります。

QRコードメール攻撃を検知するために単純な単一レイヤーのアプローチを取る配信後専用のツールとは異なり、プルーフポイントは徹底的な防御アプローチで市場を凌駕するイノベーションを続けています。実際、プルーフポイントは過去20年間、継続的にイノベーションに投資してきました。この間、AI、機械学習、検知エンジンの技術を保護するため、250件以上の特許を取得しています。

QRコードのスキャン、解析、エンコードされたURLの抽出に行動AI分析を重ねることで、プルーフポイントは最も包括的なQRコードメール脅威対策を提供します。

 

QRコードによるフィッシング詐欺から身を守るためのその他の推奨事項

QRコード付き電子メールから御社を守るために、以下をお勧めします：

• 配信前のメールセキュリティ：メッセージを防止しブロックすることが、ユーザーの安全を守る唯一の確実な方法です。Proofpoint Aegis脅威防護プラットフォームのような、機械学習と高度な脅威検知の両方を使用してこれらの脅威を特定し、阻止するサイバーセキュリティツールが必要です。配信後の電子メールセキュリティツールは、これらの脅威に対するQRコード検出を含むと主張しています。しかし、そのようなツールであっても、攻撃の連鎖の後半、つまり、脅威がすでにユーザーの受信トレイに届いた後に行われます。
• ユーザー教育：従業員はサイバーセキュリティ防御の最後の砦です。従業員には、あらゆるタイプのフィッシング攻撃に関するセキュリティ意識向上トレーニングを受けてもらいましょう。その際、騙しのメールや偽のログイン・ページについてもトピックに含める必要があります。これにより、被害に遭う可能性を大幅に減らすことができます。
• アカウント乗っ取り防止：優れたクラウド セキュリティ プラットフォームは、アカウントの侵害を特定し、機密性の高いクラウドリソースへの不正アクセスを防止することができます。このセキュリティ コントロールは、攻撃の初期と後の両方の活動をカバーする必要があります。また、どのサービスやアプリケーションが攻撃者に悪用されているかを、セキュリティ・チームが詳細に把握できるようにする必要があります。必ず、修復を自動化するソリューションを探すことが大切です。これにより、攻撃者の滞留時間を短縮し、被害を最小限に抑えることができます。
• サプライチェーン プロテクション：侵害された可能性のあるベンダーやパートナーから送信される電子メールから組織を防御します。Proofpoint Supplier Threat Protectionは、高度な AI と最新の脅威インテリジェンスを使用して、侵害されたサプライヤのアカウントを検出し、調査すべきサプライヤの優先順位を決定します。

プルーフポイントで攻撃の連鎖を断ち切る

QRコードの脅威検知に対する当社の綿密なアプローチにより、攻撃の連鎖を断ち切り、最も巧妙な攻撃からも企業を守ることができます。当社の新しいQRコード検知・防止機能は、Proofpoint Aegis脅威防御プラットフォームのすべてのお客様にご利用いただけるようになりました。当社のプラットフォームは多層的な検知と防止機能を備えており、企業は増大するQRコードによるフィッシング攻撃の脅威から先手を打つことができます。当社は、現代の企業向けに忠実度の高い検知、有効性、説明可能性を提供します。

フォーチュン100社の87%がプルーフポイントに組織の保護を任せている理由については、Proofpoint Aegis脅威防護ソリューションのソリューション概要をダウンロードしてください。