Salesforce を狙う新たな脅威「クイッシング（QRコードフィッシング）」の実態と、その確実な検知手法

最近、ヨーロッパや北米の人気観光都市で、偽のQRコードを使った駐車詐欺が横行しています。悪意のあるQRコードがSalesforceに侵入する可能性について、考えたことはありますか？この記事では、QRコード攻撃の手口、Salesforceが標的になりやすい理由、そしてそれらを防ぐ方法について解説します。

急増する「クイッシング」の脅威 — QRコードを悪用した新たな手口

北アイルランド警察（PSNI）サイバー犯罪センターが、フィッシング攻撃における悪意のあるQRコードについて注意喚起を掲載してから、まだ日が浅い。クィッシング（QRコードフィッシング）とは、QRコードを悪用して、警戒心の薄い人々を悪意のあるウェブサイトへ誘導する手口である。そこで被害者は、個人認証情報を開示させられたり、知らぬ間にマルウェアをダウンロードさせられたりする。QRコードは、レストランのメニューからチケットの認証に至るまで、あらゆる場面で利用されている。一方で、サイバー犯罪者たちはこれを悪用する絶好の機会を見出しています。正規のQRコードと偽造されたQRコードを人間の目で見分けることは困難です。幸いなことに、予防的なセキュリティ技術が存在します。そして今、その技術はSalesforceにも対応しています。

現実世界で確認されている「クイッシング」攻撃の具体例

典型的な「クィッシング」メールは、有名な企業からの公式な連絡を装うことがあります。例えば、パスワードのリセットやアカウントの確認など、緊急の対応が必要であるかのように装い、受信者にQRコードをスキャンするよう促す場合があります。

別の手口としては、給与計算やセキュリティ更新といった業務プロセスに関連する、一見無害なメッセージの中にQRコードを埋め込むものがあります。最近の事例の一つでは、米国の大手エネルギー企業を標的としたキャンペーンが行われ、マイクロソフトのセキュリティ通知を模倣したものが使用されました。

一方、詐欺師たちは公共の場でもQRコード詐欺を悪用する方法を見出しています。その一例が、英国の主要な観光都市で最近発生したQRコード駐車詐欺です。この詐欺では、多くの場合パーキングメーターに貼られた悪意のあるQRコードが、ユーザーをフィッシングサイトに誘導します。疑いを持たない被害者は、駐車料金を支払うふりをして、支払い情報を含む個人情報を入力してしまいます。その結果、金銭的な詐欺と駐車違反切符の両方のトラブルに巻き込まれる可能性があります。

わずか2ヶ月の間に、すでに1万人がこの駐車詐欺の被害に遭っています。犯行グループは、ヨーロッパ、米国、カナダ全域で同様のキャンペーンを展開しています。これらの詐欺は、現地の駐車アプリに不慣れで騙されやすい観光客を標的とするケースが多く見られます。

クイッシング攻撃の「キルチェーン」：侵入から目的達成までの全プロセス

デジタル世界において、クィッシングは通常、電子メールやテキストメッセージで送信されたQRコードから始まります。受信者はそのコードをモバイル端末でスキャンします。すると、被害者は悪意のあるサイトにリダイレクトされます。
フィッシングサイトは通常、正規の企業リソース、ログインページ、またはドキュメントポータルを模倣しています。そのページでは、従業員に対して認証情報の入力やファイルのダウンロードを促します。

認証情報を入力することで、従業員は知らず知らずのうちに攻撃者に社内アカウントへのアクセス権を与えてしまいます。攻撃者はその認証情報を利用して、機密情報を収集したり、組織内で攻撃を仕掛けたりすることが可能です。

この手法は、QRコードに対する既存の信頼を利用しています。QRコードは、秘密裏な作戦を展開するのに便利です。クィッシング攻撃は、従来のフィッシング攻撃や、メッセージ本文に悪意のあるリンクが明示的に埋め込まれている攻撃に比べて、発見されにくい傾向があります。これらのコードは、一見すると何の変哲もない無害な画像に見えるため、ほとんどのメールやコラボレーション用セキュリティシステムで実装されている、通常のテキストベースのURLスキャンをすり抜けてしまうのです。

QRコードフィッシングの主な手口：

• 身近なプラットフォームへの組み込み：クィッシングは、幅広い層にリーチし、信頼されているサービスやブランド名を利用して攻撃の成功率を高めるため、人気のあるプラットフォームを頻繁に利用します。
• 高度な実行手法：メッセージ内に悪意のあるQRコードを埋め込むことで、攻撃者は、画像に埋め込まれたURLをスキャンしない可能性のある従来のセキュリティ対策を回避することができます。
• 心理的な駆け引き：QRコードは安全な状況で使用されるという定着した慣習があるため、スキャンするかどうかはしばしば衝動的に決定されます。クィッシャーは、この衝動性に頼り、被害者が立ち止まって潜在的な危険性を考える可能性を低減させているのです。

Salesforce 環境におけるクイッシング対策が、特に困難とされる理由

総じて言えば、悪意のあるQRコードは企業にとって重大な脅威であり、Salesforceのようなプラットフォームを通じて配信された場合、その影響は特に深刻なものとなります。Salesforceがこうした攻撃にとって格好の標的となる理由、そして早急にプラットフォームのセキュリティ対策を講じるべき理由を以下に説明します。

信頼が前提となるプラットフォーム

ユーザーは、Salesforceを営業管理やカスタマーサポートにおける日常業務のための信頼できるプラットフォームと見なしています。従業員は、このプラットフォームを通じて受け取る通信内容について、一定のセキュリティと信頼が確保されていると想定しているため、細心の注意を払って精査することはあまりありません。この信頼感により、Salesforceを通じて送信されたQRコードは特に効果的になり得ます。なぜなら、従業員は疑いを持たずに素早くスキャンしてしまう可能性があるからです。詐欺そのものが、Salesforceのブランドイメージを利用することさえあり得ます。また、QRコードは一般的で一見無害に見える画像形式を採用しているため、疑念を抱かせにくくなっています。

組織全体への広範な普及

特に大企業において、Salesforceはあらゆる部門で深く浸透していますが、それは同時に「広大な攻撃対象領域」をさらけ出していることも意味します。Salesforceを通じて配布される悪意あるQRコードは、瞬く間に膨大な数のユーザーへ到達する可能性があり、攻撃者にとってはまさに「理想的な攻撃環境」と言えるのです。

モバイルデバイス特有の脆弱性

Salesforceはモバイル環境での利用が非常に多く、これはQRコードをスキャンするという行為と極めて高い親和性を持っています。しかし、モバイルデバイスはPCに比べてセキュリティ対策が手薄になりがちです。特に移動中のユーザーは、画面が小さく、注意力が散漫になりやすいため、セキュリティ警告を見落としてしまう傾向があります。さらに、私物デバイスの業務利用（BYOD）を許可している場合、企業の管理が及ばない「無防備なデバイス」が入り口となり、リスクはさらに増大します。

フィッシング防御の欠如

Salesforceは極めて堅牢なプラットフォームですが、デフォルトではフィッシング対策機能を備えていません。そのため、Salesforce環境内には、悪意あるQRコードの配布を検知・阻止する防御レイヤーが実質的に存在しないのが現状です。この「防御の空白」こそが、攻撃者にとっての格好の侵入経路となっているのです。

Salesforce の QRコードフィッシングを防ぐには、単なる意識啓発だけでは不十分です

ランダムにQRコードをスキャンすることの潜在的な脅威についてユーザーに周知することは間違いなく重要ですが、真の予防には多角的なアプローチが必要です：

• 高度な脅威対策：Salesforceへのアップロードに含まれるQRコードを認識・検査し、リンク先のURLがエンドユーザーに届く前に悪意のあるコンテンツがないか分析できるフィッシング対策ソリューションを導入する必要があります。
• 定期的なセキュリティ監査：QRコードを利用したフィッシングを日常的なセキュリティ監査やリスク評価に組み込むことで、セキュリティ上の脆弱性を特定し、是正することができます。セキュリティ監査において、Salesforceが徹底的にカバーされていることを確認してください。
• アクセス権限の制限：Salesforceは内部ユーザーに対して多要素認証（MFA）を義務付けていますが、ユーザーの役割に必要な範囲にアクセス権を制限し、最小権限の原則に従うことが賢明です。
• ソフトウェアと設定の更新： すべての統合機能に最新のセキュリティパッチが適用されていることを確認し、フィッシング対策スキャンソリューションが悪意のあるQRコードを検出できるよう適切に設定されているか検証してください。
• BYODの利用制限：最大の脆弱性のいくつかは、従業員が企業のセキュリティ対策の範囲外で個人端末を使用し、アカウント認証情報を収集するフィッシングサイトにアクセスする際に生じます。
• Salesforceユーザーの教育： QRコードに関連するリスクについてユーザーに継続的に啓発し、Salesforceのような信頼できるプラットフォームを使用する場合でも警戒が必要であることを強調してください。

Salesforce上の悪意のあるQRコードを自動的にブロック

クィッシングのような隠蔽されたフィッシング手口を防ぐには、警戒心と高度なセキュリティソリューションの両方が必要です。幸いなことに、簡単なスキャンだけで、こうした隠れた詐欺からデータとSalesforceユーザーを守ることができます。WithSecure™ Cloud Protection for Salesforceは、Salesforceのテキストフィールド内、QRコードの背後、およびアップロードされたドキュメント内の悪意のあるURLをスキャンします。当社のAntiQuishing機能は、ある企業顧客が実際に直面したフィッシング攻撃への対応として開発されたもので、その攻撃ではSalesforceが悪意のあるQRコードの標的となっていました。

無料相談をご希望の方は弊社チームまでお問い合わせください。また、無料のSalesforceリスク評価（数分で完了し、お客様の環境へのアクセスは不要です）をご利用いただくか、今すぐAppExchangeで試用してみてください。