クイッシング
クイッシング とは何ですか?
クイッシング悪意あるURLをQRコードに隠すフィッシング攻撃。被害者にスマートフォンで読み取らせ、企業の防御外で認証情報窃取やマルウェアのページへ誘導する。
クイッシング(QRコードフィッシング)は、悪意あるリンクを可視テキストではなくQRコードとして符号化するソーシャルエンジニアリング攻撃です。URLが画像に埋め込まれているため、メールのリンクスキャナーやセキュアメールゲートウェイをすり抜けやすく、読み取り後は防御の弱い個人のモバイル端末へ被害者を移動させることが多いです。よくある誘い文句には、多要素認証の設定通知を装ったもの、宅配や駐車料金の支払い要求、ポスターや飲食店のテーブル上の正規コードに重ねて貼る偽ステッカーなどがあります。対策としては、画像とQRを解析できるメールフィルタリング、攻撃者ドメインのブロック、フィッシング耐性のあるFIDO2認証、モバイル脅威対策、利用者教育が有効です。
● 例
- 01
IT部門を装ったメールが、Microsoft 365のMFAを「再有効化」するためにQRコードを読み取るよう従業員に求め、認証情報とセッショントークンを盗む偽ログインページへ誘導する。
- 02
攻撃者がパーキングメーターの正規QRコードの上に偽のステッカーを貼り、運転者が自治体ではなく偽サイトへ支払うよう仕向ける。
● よくある質問
クイッシング とは何ですか?
悪意あるURLをQRコードに隠すフィッシング攻撃。被害者にスマートフォンで読み取らせ、企業の防御外で認証情報窃取やマルウェアのページへ誘導する。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
クイッシング とはどういう意味ですか?
悪意あるURLをQRコードに隠すフィッシング攻撃。被害者にスマートフォンで読み取らせ、企業の防御外で認証情報窃取やマルウェアのページへ誘導する。
クイッシング はどのように機能しますか?
クイッシング(QRコードフィッシング)は、悪意あるリンクを可視テキストではなくQRコードとして符号化するソーシャルエンジニアリング攻撃です。URLが画像に埋め込まれているため、メールのリンクスキャナーやセキュアメールゲートウェイをすり抜けやすく、読み取り後は防御の弱い個人のモバイル端末へ被害者を移動させることが多いです。よくある誘い文句には、多要素認証の設定通知を装ったもの、宅配や駐車料金の支払い要求、ポスターや飲食店のテーブル上の正規コードに重ねて貼る偽ステッカーなどがあります。対策としては、画像とQRを解析できるメールフィルタリング、攻撃者ドメインのブロック、フィッシング耐性のあるFIDO2認証、モバイル脅威対策、利用者教育が有効です。
クイッシング からどのように防御しますか?
クイッシング に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
クイッシング の別名は何ですか?
一般的な別名: QRコードフィッシング, QRフィッシング。
● 関連用語
- attacks№ 917
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。
- attacks№ 1175
スミッシング
SMS など携帯端末向けメッセージを用いたフィッシング攻撃。悪意あるリンクのクリックや偽番号への発信、情報の入力を促す。
- attacks№ 1333
ビッシング
電話や VoIP など音声経路を利用したフィッシング攻撃。被害者から認証情報・送金・リモートアクセス権を引き出す。
- attacks№ 1192
スピアフィッシング
事前に収集した個人情報や業務情報をもとに、特定の個人や組織に合わせて作り込まれた標的型フィッシング攻撃。
- attacks№ 1183
ソーシャルエンジニアリング
心理的な操作によって人を欺き、攻撃者に有利な行動を取らせたり機密情報を引き出したりする攻撃の総称。
- identity-access№ 253
クレデンシャル収集
ユーザー名・パスワード・トークンなど認証情報を大量に集める行為で、通常はその後のアカウント乗っ取りや売買に使われる。