QR コード付きの電子メールにはご注意を

メール内に表示される QR コードが悪用され、不正なフィッシングサイトに誘導されるケースが確認されています。

QR コードの利用が増える中、大手インターネット企業(Microsoft やそのクラウド サービスである Office 365 など)から送信されたと思わせるメールに、(不正な)QR コードを含むケースが増えています。このようなメールの本文には「アカウントに引き続きアクセスできるように QR コードをスキャンしてください」などというメッセージが含まれています。この投稿では、このようなメッセージにどう対応すればよいのかを説明します。

QR コードをスキャンするか、それとも?

メールには通常「お知らせ」という件名が付けられています。そして、アカウントのパスワードがまもなく期限切れになる、期限が切れるとメールボックスにアクセスできなくなる、そのためにパスワードを変更する必要がある、そして、その方法としてメール内に表示される QR コードをスキャンして指示に従う必要があるなどと書かれています。

QR コード付きのフィッシングメールの例

QR コード付きのフィッシングメールの例

<メールの訳>

件名:緊急 アクセス期限切れのお知らせ – アクションが必要です

本文:パスワードの有効期限は、本日2023年8月14日(月)です。メールボックスを問題なく使用し、メールを受信し続けるには、次の指示に従ってください。

携帯電話のカメラでQRコードをスキャンして、この問題を解決してください。

QR コードをスキャンすると、アプリがアカウントを維持するためのプロセスをご案内します。注意深く指示に従ってください。

また、メール受信者に「認証セッションの有効期限は本日です」と通知するメールが送られてくる場合もあります。メールには、「継続させるために、すぐにスマートフォンで下の QR コードをスキャンして、パスワードのセキュリティを再認証してください。そうしないと、メールボックスにアクセスできなくなる可能性があります」と記載されており、ユーザーに特定の行動をするよう促します。

QR コード付きのフィッシングメールの例

メールには「認証セッションの有効期限が本日切れました。すぐに QR コードをスキャンしてください。」などと記載されている

他の例もあります。メッセージには、親切にも「このメールは信頼できる差出人から送信されたものです」というメッセージが表示される場合があります。なぜ「確認済み」のスタンプが付いているメールを注意して扱う必要があるかについては以前こちらのブログ(英語)で説明しました。メッセージには、「3通の重要なメールが、メールボックスのエラーとメールの検証ができず、正常に受信されませんでした。」などと書かれています。そして、その下の QR コードをスキャンすると問題が解決するというのです。

QR コード付きのフィッシングメールの例

QR コードをスキャンすればその「重要な」メールを受信できるというフィッシングメール

明らかに、こうしたメールの作成者は、セキュリティに疎いユーザーを大げさな言葉で脅したいと考えています。

また、受信者がこれまでに認証アプリ(実際には QR コードを使用していますが)について何らかの情報を耳にしたことがあると考えて、その言葉に言及しただけで、頭の中に不安がよぎるであろうと想定している可能性があります。

メール内に表示される QR コードをスキャンするとどうなるか

QR コードのリンクを実際にクリックするとどうなるのでしょうか。筆者が試したところ、正規の Microsoft ログインページに類似した偽のログインページに移動しました。

QR コードをスキャンすると、入力した認証情報を盗むフィッシングサイトに移動

もちろん、このようなフィッシングページに入力したすべての認証情報はサイバー犯罪者に盗まれます。そして、この手法にひっかかったユーザーのアカウントが危険にさらされます。

興味深い点は、QR コードのフィッシングリンクの中には IPFS リソースにつながるものがあるという点です。IPFS(InterPlanetary File System)は、ファイルを共有するための通信プロトコルであり、トレント(Torrent)と多くの共通点があります。これを使用すると、ドメイン登録やホスティングなどの複雑な作業を行わずに、インターネット上にあらゆるファイルを公開できます。

つまり、フィッシングページはフィッシング詐欺師のコンピューター上に直接存在し、特別な IPFS ゲートウェイを介したリンク経由でアクセスできるようになっています。フィッシング詐欺師が IPFS プロトコルを使用するのは、「通常」の悪意のある Web サイトをブロックすることよりも、フィッシングページの公開がはるかに簡単で、削除がはるかに難しいためです。そのため、リンクの存続期間は長くなります。

QR コードのフィッシングを防ぐ方法

まともな認証システムが、唯一のオプションとして QR コードのスキャンを推奨することはありません。したがって、何かを確認する、アカウントに再度サインインする、パスワードをリセットするなどの操作を実行するように求めるメールを受信し、そのメールに QR コードのみが含まれている場合は、おそらくフィッシングに直面しています。このようなメールは無視して削除しても問題ありません。

ソースが不明な QR コードをスキャンする必要がある場合は、セキュアな QR コードスキャナー機能がある当社のセキュリティソリューションを推奨します。QR コードの内容を確認し、その中に不正なコンテンツがあれば警告が表示されるようになっています。

ヒント
新着記事をメールでお知らせします