「フィッシング攻撃に悪用されるEV充電スタンド、シール貼りしたQRコードに注意」
Security Affairsは9月5日(現地時間)、「Quishing, an insidious threat to electric car owners」において、偽のQRコードを用いて誘導するクイッシング(Quishing)について、注意を喚起しました。クイッシングはフィッシングに分類されるサイバー攻撃の手法で、正規のQRコードの上に偽のQRコードを被せて被害者をフィッシングサイトに誘導します。
https://news.mynavi.jp/techplus/article/20240908-3020072/
出典:TECH+
<クイッシング攻撃とは?>
QRコードはオンライン、現実世界いずれの環境においても広く普及しており、触れる機会は多いです。オンライン上のQRコードを改ざんするにはWebサイトなどに侵入する必要があり難易度は高いですが、現実世界のQRコードは上からシールを貼るだけで改ざんできてしまいます。
このQRコードを改ざんする攻撃手法がクイッシングと呼ばれ、現実世界のQRコード利用において脅威となっています。特に認証を必要とするサービスにQRコードが悪用されると、認証情報を窃取される可能性が高くなります。
<影響>
セキュリティ専門家のEddy Willems氏は「Betrüger zocken E-Autofahrer an Ladesäulen ab, Motor Presse Stuttgart, Story - lifePR」において、次のように述べ、現実世界のQRコードも改ざん防止対策が必要だと訴えています。
「公共のEV充電スタンドにまだ慣れていない電気自動車の新人ドライバーは特に危険にさらされています。世界中ではないにしても、EU内では間違いなく問題になっています。」
<対策>
Eddy Willems氏は対策について「EV充電スタンドの運営者にステッカーを避けるようアドバイスしている。コードはディスプレイに表示すべきだ。」と述べています。
小型の液晶ディスプレイなどにQRコードを表示するシステムでは、QRコードに変更が発生しても表示を切り替えるだけで済むようになります。そのため、上からシールを貼り付ける理由がなくなり攻撃は困難になるとみられています。この対策を導入するには相応のコストが見込まれるが、新規サービスの開始時には積極的に導入することが望まれています。
QRコードの利用者は、フィッシング対策のベストプラクティスを実践することが望まれています。認証情報を入力する際は必ずURLを確認し、正規のWebサイト以外に認証情報を入力しないようにすることが推奨されます。
EUで発生しているクイッシング被害だそうですが、日本でも簡単に模倣できるものと思われます。本物のQRコードの上に、クイッシングに使う偽のQRコードのシールを貼って誘導するものです。
屋外の公共の場等にあるQRコードは、この方法で簡単にQRコードを変更できてしまう為、今後日本国内でも似たような事例が発生する恐れがあります。
最近QRコードを使ったクイッシングは爆発的に増加しています。気軽で使いやすいものではありますが、充分に注意をしてお使いください。
★-------------------------------------------★
【アルテミスBP パートナー様募集!】
セキュリティベンダー様、SIベンダー様、OA機器ディーラー様、通信機器ディーラー様、ソフトウェア開発会社様、xSP様、iDC様など、ネットワークセキュリティ事業を共に展開するパートナー様を広く募集しています。
私たちだからできる「ワンストップサービス」も魅力の1つです!
⇒ 専用ページはこちら
★-------------------------------------------★