2024 年 01 月 12 日
QR コードを悪用したフィッシングメールに要注意!
~ 急増するフィッシング詐欺の手口について解説 ~
急増するフィッシングメール、実在する正規ブランドを装うなりすましメールに注意
2023 年 10 月、フィッシング対策協議会が公表した フィッシング報告状況 によると、過去最多となる 156,804 件となりました。Amazon および ETC 利用照会サービスを騙るフィッシング報告が全体の約 69%、その他マイナポイント事務局やクレジットカード会社を騙るフィッシングが報告数を占めました。
(出典)フィッシング対策協議会:2023/10 フィッシング報告状況
QR フィッシングとその対応策とは?
2023 年 6 月にフィッシング対策協議会の技術・制度検討ワーキンググループが公開した「 フィッシングレポート 2023」によると、フィッシングメールは送信元メールアドレスに正規サービスのドメインを使用した「なりすまし」送信メールが継続していて、観測しているメールアドレスで受信したフィッシングメールのうち平均 71.6%が「なりすまし」送信メールでした。その他、SMS を用いたフィッシングである「スミッシング」、特定の個人や組織を標的にしていることや事前に情報収集を行ったうえで標的を定めて攻撃するため精度が高いという特性がある「スピアフィッシング」などのフィッシング攻撃手法があります。最近では QR コードを悪用した「QR フィッシング」が増加傾向にあり、フィッシングサイトの URL を QR コードに埋め込んだフィッシングメールの報告が増加し、2023 年 2 月にフィッシング対策協議会が公表した フィッシング報告状況 によると、1,000 件以上の報告がありました。
QR フィッシングの例としては、フィッシングメールからキャッシュレス決済の正規サービスへ誘導し送金させる手口や、Microsoft と Microsoft Authenticator のロゴとともに「アカウントの多要素認証が無効になりました。手順に従って認証を再度有効にしてください。」のように書かれており、メールに表示されている QR コードをスマートフォンで QR コードをスキャンすると、Microsoft 365 の偽のログオンページが表示され、ID/パスワードを入力させるように誘導します。入力したログイン情報は、フィッシング犯罪グループ間での売買や、不正アクセスするために悪用されます。
それでは、ID/パスワードを不正に入力させるようなフィッシング詐欺にはどのように対策をすれば良いのでしょうか。BLOG:電子契約サービスや特別定額給付金を騙るフィッシングメールに注意 でも解説していますように、ID/パスワードのみでの認証ではなく、多要素認証により防ぐことが重要です。
特に、クラウドサービスでは、一般的に二段階認証を提供している場合がありますが、企業や組織が扱う情報は機密性が高く、また QR フィッシングのような手口もありますので、このような情報へのアクセスにはより強固で安全な多要素認証を利用することが重要です。
多要素認証とは、知識もしくは、生体情報と、所有のいずれか 2 種類以上を組み合わせて認証を行うものです。
サイバートラストでは、厳格な端末認証を可能にする「サイバートラスト デバイス ID」を提供しています。管理者が指定した端末にのみデバイス証明書を登録し、かつ一度登録されたデバイス証明書の複製や取り出しができない仕組みを Windows、macOS、iOS、Chromebook などで実現したデバイス証明書発行管理サービスです。また、多くの IDaaS やシングルサインオンサービス(SSO)では、デバイス証明書による認証方式に対応しています。デバイス証明書を活用した端末認証によって安全に許可された端末のみがアクセスでき、不正な機器の接続を防止し、利便性を損なわずセキュリティ強度を高めることが可能です。
なお、「サイバートラスト デバイス ID」では、 無償で 1 ヶ月間、10 台までの機器で評価いただけるトライアルキット をご提供しており、トライアルのお申し込み完了時点から本ポータルをご覧いただけますので、ご興味がありましたら、是非ともお申し込みください。
また、初期費用なし、10 ライセンスからご利用可能で、WEB 申し込みから 10 営業日以内の短期間で導入可能な「サイバートラスト デバイス ID」の導入をぜひともご検討ください。
