QRコードは、私たちの日常生活に溶け込んでいます。レストランのメニューから決済ポータルにいたるまで、あらゆる場所で目にします。スマートフォンでスキャンするだけで、すぐに情報にアクセスしたり、タスクを実行したりできます。しかし、便利なQRコードが世の中に浸透していることによって、攻撃者にとっても魅力的な攻撃ツールとなっています。
2023年12月、プルーフポイントは、QRコードを使った脅威を阻止するべく、新しいインライン脅威検知機能の提供を開始しました。プルーフポイントがQRコードに対応した理由はいくつかありますが、まず1つ目としてQRコードを用いた攻撃は非常に巧妙で、従来型の検知技術ではQRコードに埋め込まれたURLを正確に分析できなかったこと、2つ目として外部の調査データによると、ユーザーの80%以上がQRコードが安全であると信じているとの結果が出ていることから、ユーザーはこれらの攻撃に引っかかりやすいため対応する必要があることがあげられます。
また、プルーフポイント独自の調査によると、QRコードを用いた攻撃は、急速に拡大しています。いまやQRコード攻撃は1日当たり数万件に達しています。こうした理由からQRコードを用いた脅威に注意する必要があります。
この取り組みを支援するために、プルーフポイントは、メールセキュリティ製品で対応するだけでなく、プルーフポイントのセキュリティ意識向上プログラムを通じてQRコードフィッシングシミュレーションを提供しています。このシミュレーションでは、実際のQRコードフィッシング試行を認識し、プロアクティブに報告するための方法を学習することができます。
この記事では、シミュレーションの基本、そしてこれがどのように「人」を中心としたセキュリティ戦略の主柱となっているかについて説明します。その前にまず、QRコードフィッシングの仕組みについてみていきましょう。
QRコード攻撃の流れ
QRコードフィッシングにおいては、攻撃者は、QRコードの中に悪意のあるURLを仕込み、そのQRコードをメールに入れます。コードがスキャンされると、被害者は、ログイン認証情報、クレジットカード番号、個人情報などの機密データを盗むよう設計された、偽のWebサイトにリダイレクトされます。
QRコード攻撃の流れ
悪意のあるQRコードが検知しにくいのは、攻撃者が意図的に回避戦術と悪意のあるQRコードを組み合わせて、メールゲートウェイを回避しているためです。例えば、最近のQRコード攻撃では、攻撃者はPDF添付ファイル内に悪意のあるQRコードを隠していました。また、リダイレクトされたURLは、Cloudflare CAPTCHAを追加して正規のものに見せかけるといった、回避戦術を用いていました。攻撃者は、被害者に届きさえすれば、侵害を成功させることができると確信しているため、積極的に回避戦術への投資を続けています。
ソリューション:QRコードフィッシングシミュレーション
ユーザーがQRコードフィッシング攻撃にさらされるリスクが高まっていることから、この脅威についてユーザーを教育することが重要です。プルーフポイントのQRコードフィッシングシミュレーションがどう役立つかについて説明しましょう。
このシミュレーションは、基本として、実際の攻撃から生まれたメールテンプレートを活用しています。管理者は、事前に作成されたテンプレートを用いて、従業員がQRコード攻撃にどのように反応するかをテストする、シミュレーションキャンペーンを開始することができます。
このシミュレーションでは、脅威を特定し、回避し、報告するということを、ユーザーに実際に体験してもらうことができます。これによって管理者は、ユーザーがどれだけ脆弱かを知ることもできるため、ユーザーに合わせた教育プランを立てることができます。
プルーフポイントによるQRコードフィッシングシミュレーションの例
ユーザーの知識とスキルを磨くために、事前に作成されたテンプレートは、Leveled Phishing機能を使用し、難易度に基づいて自動的に分類されます。プルーフポイントは、機械学習とNIST Phish Scale調査を組み合わせて、フィッシングシミュレーションテンプレートの難易度を自動的に分類する、最初で唯一のセキュリティ意識向上プロバイダーです。
Leveled Phishingにより、管理者は、ユーザーによる脅威の理解度を客観的に測ることができます。シミュレーションを行うごとにユーザーの知識を向上させることができるため、管理者は、より難易度の高いシミュレーションを数多く行うことにより、ユーザーを訓練し続けることができます。
シミュレーションに合格できなかったユーザーについては、「ティーチャブル・モーメント(種明かしページ)」を通じて、シミュレーションが脅威であった理由に関する教育的なヒントや、今後この脅威を回避するための方法を提供することができます。
プルーフポイントの「ティーチャブル・モーメント」(種明かしページ)の例 ※43言語に対応
QRコードシミュレーションとニーズに応じた教育を組み合わせることにより、以下が可能となります。
- ユーザーによる理解度の向上
- ユーザーエンゲージメントの最大化
- ユーザー行動におけるポジティブな変化を推進
これらのシミュレーションが「人」を中心としたセキュリティ戦略をどのように補完するか
QRコードフィッシング攻撃のリスクは、終わりが見えません。従業員を保護するには、ユーザー教育と脅威プロテクションを組み合わせた、マルチレイヤーのアプローチを採用する必要があります。
プルーフポイントは、QRコードフィッシングに対する完全な保護を提供します。
攻撃前の教育
ユーザーが攻撃に引っかからないようにするためには、攻撃が起こる前に、ユーザーにトレーニングを提供する必要があります。カリキュラムには、注意を引きつけるコンテンツ、知識アセスメント、フィッシングシミュレーションを含める必要があります。
従来のセキュリティ意識向上プログラムはしばしば、理論的概念のみを取り扱ったビデオベースのトレーニングが中心となっています。しかし、プルーフポイントのQRコードフィッシングシミュレーションはさらに進んでいます。実際のQRコード脅威に基づいた、実用的かつ実践的なトレーニングエクスペリエンスを提供します。
QRコードに特化した教育モジュールとアセスメントを組み合わせた、プルーフポイントの包括的なアプローチは、主要コンセプトを強化し、ユーザーに、QRコードフィッシング試行を認識し、プロアクティブに対応するための方法を提供します。
受信前の検知
しかし、ユーザーによる誤りは常に起こりえます。そのため、攻撃がユーザーの受信トレイに届かないようにする、脅威プロテクションソリューションを導入することも等しく重要です。
振る舞いAIとサンドボックス技術を組み合わせた、プルーフポイントによる、受信前のQRコード検知機能がおすすめです。侵入ポイントでQRコードをスキャンすることにより、ユーザーがアクセスする前に悪意のあるURLを特定し、阻止することができます。QRコードフィッシング攻撃を排除することで、ユーザーのリスクを減らすことができます。ユーザーは、それでも受信トレイに到達するかもしれない、1~2件の悪意のあるメールに注意するだけですみます。
受信後の検知と修復
従業員に正しい知識を身につけてもらえば、会社のサイバーセキュリティの最前線を担ってもらうことができます。QRコードの脅威が侵入した場合に備えて、トレーニングを提供すれば、ユーザーが迅速に悪意のあるメッセージを報告できるようになります。
ユーザーがPhishAlarmなどのツールを用いて不審なメッセージを報告すれば、プルーフポイントによる受信後の修復機能が自動的にメッセージを分析します。プルーフポイントの受信前の機能と同様に、添付のPDFやWord文書、メール内の画像に対し、OCRなどの技術を用いてQRコードをスキャンし、解析することができます。悪意のあるメールであると判定されれば、自動的に処分し、会社全体のユーザーの受信トレイからこのメールを削除します。
プルーフポイントで「人」を中心としたセキュリティを実現する
QRコードは、あらゆる規模の企業にとって、進化を続ける重大な脅威となっています。そして、QRコードはますます広く普及しているため、攻撃者は、フィッシング攻撃を仕掛けるためのツールとして使い続けていくと思われます。しかし、企業が、セキュリティ教育と脅威プロテクションを組み合わせた、包括的なセキュリティ戦略を導入すれば、QRコードフィッシングに関連したリスクを低減し、こうした攻撃に対するユーザーレジリエンスを向上させることができます。
QRコードフィッシングを防止するための「人」を中心としたセキュリティアプローチについて詳しくは、プルーフポイントまでお問い合わせください。