What is Quishing (QR Phishing)?

クイッシングは基本的に、QR コードを巧みに使用してユーザーをだまして悪意のある Web サイトにアクセスさせるフォーム フィッシング攻撃 です。 ユーザーが悪意のあるQRコードをスキャンすると、ブラウザはQRコードで示されたWebサイトに移動します。

詳細はこちら メールセキュリティレポートを読む

クイッシングはどのように機能しますか?

クイッシュ攻撃は、従来のフィッシング攻撃と同様に機能します。 多くの場合、フィッシング攻撃には、悪意のあるリンクを含む電子メールまたはテキストメッセージが含まれます。 受信者がリンクをクリックすると、ログイン資格情報などの機密情報を盗んだり、コンピューターに マルウェア をインストールしたりしようとするフィッシングサイトに誘導されます。

 

クイッシュ攻撃は、従来のフィッシング攻撃とは異なり、電子メール内のリンクの形式が異なります。 テキストベースのリンクの代わりに、悪意のあるWebサイトはQRコードで指し示されます。 ユーザーがQRコードをスキャンすると、デバイスは指定されたリンクを抽出し、ユーザーをそのURLに誘導できます。

 

クイッシングは従来のフィッシング攻撃と同じ手法を多く使用しますが、QR コードを使用すると、検出とブロックがはるかに困難になります。 クイッシング攻撃では、メッセージに埋め込まれたリンク(電子メールのテキストをスキャンすることで検出できます)の代わりに、URLにデコードできる画像を使用します。 電子メール内のQRコードを識別してURLを抽出することは、単にメッセージテキストからリンクを読み取るよりもはるかに困難です。

不正なQRコードをスキャンするとどうなりますか?

QR コードは、ユーザーを Web サイトに誘導するための簡単でスペース効率の高い方法として設計されています。 URLを入力する代わりに、ユーザーはモバイルデバイスのカメラでQRコードをスキャンできます。 QR コード対応アプリでは、画像をデコードして URL を作成し、ユーザーのブラウザーで開くことができます。

QR コードを介して悪意のある Web サイトにアクセスすると、フィッシング メールのリンクをクリックするなど、他の手段でアクセスした場合と同じ影響がユーザーとそのデバイスに影響を与える可能性があります。 フィッシングサイトは、ユーザーを騙してログイン資格情報を入力させたり、デバイスにマルウェアをインストールさせたりするように設計されている可能性があります。

クイッシングの課題

クイッシュは、複数のデバイスが関与するため、組織に固有のセキュリティ上の課題をもたらします。 ユーザーが 1 つのデバイスで QR コードを含むメールを受信した場合、そのコードを別のデバイスでスキャンして、指定された Web ページを開く可能性があります。 これにより、職場のメールアドレスに送信されたクイッシュメールを受信するユーザーが個人のデバイスを使用して悪意のあるQRコードをスキャンする可能性があるため、組織にとって重大なセキュリティ上の課題が生じます。 これらのデバイスは、組織のサイバーセキュリティポリシーの対象ではなく、同じレベルのアンチフィッシング防御を欠いている可能性があるため、潜在的な侵害の防止、検出、追跡が困難になります。

また、企業はクイッシング攻撃に対処する際に、逆のリスクに直面します。 個人の電子メールに送信されたクイッシング電子メールは、企業のアンチフィッシング防御によってブロックされません。 ユーザーがビジネスデバイスでそのメールをスキャンした場合、脅威が会社のセキュリティソリューションによって検出およびブロックされない場合、会社のデバイスがマルウェアに感染する可能性があります。

クイッシング攻撃の検出方法

これらの攻撃を検出する方法には、次のようなものがあります。

  • 一般的なフィッシングの警告サイン: クイッシング攻撃には、スペルミス、文法上の誤り、類似メールアドレス、その他のフィッシングメールの一般的な危険信号が含まれている可能性があります。
  • テキスト分析: フィッシングメールは、通常、感情を操作したり、攻撃の成功率を高めるために切迫感を煽ったりします。 これらの取り組みは、自然言語処理(NLP)または人工知能によって識別できます。
  • QRコード検出: QRコードは、クイッシングメールに埋め込まれた画像です。 画像をスキャンしてQRコードが含まれているかどうかを確認すると、これらの攻撃を特定するのに役立ちます。

クイッシング攻撃の成功を防ぐ方法

組織や個人は、次のようなさまざまな方法を使用して、クイッシング攻撃から保護できます。

  • ユーザーを教育する: クイッシングの脅威と、信頼できない電子メールからQRコードをスキャンするリスクについて従業員に教えます。
  • メールスキャナーを使用する: メールスキャナーは、テキストコンテンツ、QRコード自体、またはその他のフィッシングの危険信号に基づいて、クイッシングメールを識別できる場合があります。
  • 信頼できないQRコードをスキャンしないでください。 不明または信頼できないソースからのQRコードをスキャンしないでください。
  • スキャン後にURLを確認します。 QRコードをスキャンした後、URLを参照したり、機密情報を入力したりする前に、URLを確認してください。
  • 多要素認証 (MFA) を有効にします。MFAを有効にして、ユーザーの資格情報がフィッシングサイトに入力された場合の潜在的な影響を軽減します。

Harmony Email and Collaborationによるフィッシング対策

チェック・ポイント Harmony Email and Collaborationは、クイッシング攻撃を含む強力な アンチフィッシング保護を提供します。 2023年のForrester Wave for Enterprise Email Securityでリーダーに選出されました。Harmony Email and Collaborationが最新のフィッシングの脅威から組織を保護する方法の詳細については、 今すぐ無料デモにサインアップしてください。

×
  フィードバック
このWebサイトは、機能性と分析およびマーケティングの目的でCookieを使用しています。Webサイトを引き続きご利用いただくことで、Cookieの使用に同意したことになります。詳細については、Cookieに関する通知をお読みください。
OK