サイバー攻撃のトレンドその対策最前線をシリーズで紹介
第三回『QRコードフィッシング/クイッシング(Quishing)とその対策を解説』
QRコードは、日本が誇るデンソーによって開発されました。開発の中心人物として知られているのは、同社の技術者であった原昌宏さんです。1994年、開発自体は当初デンソーが生産し、取り扱いをする自動車部品工場での部品管理を効率化するために開発されたと言われており、従来のバーコードが持つ情報量の少なさと、読み取りに時間がかかるという課題を解決するために作られたものです*1。このQRコードは、デンソー自体が、特許を申請しましたが、その後無償開放したことにより、また、スマートフォンが爆発的に広く普及したことにより、現在、全世界に広く普及することとなりました。特に、従来のバーコードは、数十文字程度のデータ量しか保存ができませんでしたが、QRコードは、数字で最大、7,089文字、英数字4,296文字、漢字1,817文字となり、より多くの情報を記録できるため、様々な用途で活用されております。例えば、ホームページやSNSへの誘導、広告、名刺などにQRコードを記載することにより、QRコードを読み取るだけで容易にURLにアクセスできるようになります。また、PayPayをはじめ、スマートフォンアプリを利用したQRコード決済が広く普及したことにより、レストラン、スーパーなどの店舗での支払い、そしてオンラインサービスでの利用が増えています。また、チケットや入場券にも利用され、当初の開発想定のとおり物流の世界でも、在庫、部品や製品自体にQRコードを貼り付けることで、管理が飛躍的に効率化しております。ある2024年の調査では、「キャッシュレス派」が65%に達し、そのうちQRコード決済の利用率は68%と過去最高を記録しました。故に、QRコードは認証、デバイスのペアリング、コラボレーションプラットフォームでのファイル共有に欠かせないものとなっています。
しかし、反対にその利便性の高さから悪意のあるサイバー攻撃者の格好の標的となっていますAction Fraud *2の最新データによると、QR コード詐欺は過去 5 年間で 14 倍に増加しており、2019 年の報告件数はわずか 100 件だったのに対し、2024 年には 1,386 件に上っています。さらに懸念されるのは、Hoxhun社*3の統計によると、フィッシング攻撃の 22%でQRコードが使用されており、さらに、シミュレーションされたクイッシング攻撃を正しく識別して報告できる人はわずか 36% に過ぎないことが調査で明らかになったことです*4。具体的な、QRコードによるクイッシング攻撃の実例を見てみますと以下のような例が報告されております。
1.Signal*5のリンク・デバイス攻撃:
2025年第1四半期に話題になったQRコードベースの攻撃トップとなったSignalのリンク・デバイス攻撃-認証のバイパス攻撃があります。これは、WhatsAppやFacebook Messengerのようなメッセージング・アプリにおいて、Signalプロトコルという独自の技術に基づいたエンドツーエンド暗号化を実装したプロトコルによりメッセージの送受信を行います。この強力な暗号化技術によりメッセージは送信者のデバイスから発信された時点で暗号化され、受信者のデバイスで復号されるまで、誰もその内容を読み取ることができません。問題なのは、パスワードの代わりにQRコードのスキャンによってデバイスをリンクすることができる点です。この構造的な欠陥により、メインのデバイスが侵害された場合、攻撃者は悪意のあるデバイスを恒久的にリンクさせることができます。
執筆者について
経歴 ※このプロフィールは掲載記事執筆時点での内容となります
コメント
/
/
/
コメント