北朝鮮の国家支援を受けたサイバー脅威グループ「キムスキー」が、QRコードを悪用した手口でアメリカの組織を標的にし、機密情報を窃取しているとして、アメリカ連邦捜査局（FBI）は8日に警告を発した。

FBIによると、昨年以降にキムスキーはシンクタンクや学術機関、アメリカおよび外国の政府機関を対象に、悪意のあるQRコードを埋め込んだスピアフィッシング攻撃を展開しているという。この手法は「クイッシング」と呼ばれている。

FBIは、「クイッシング（QRコード・フィッシング）とは、攻撃者がQRコードの中に悪意のあるURLを埋め込み、被害者を業務用端末からスマートフォンなどのモバイル端末へ誘導することで、従来の電子メールセキュリティ対策を回避する手口だ」と説明している。

こうした攻撃では、QRコードの画像がメールの添付ファイルや本文中の画像として送信されるケースが多く、通常のURL検査機能をすり抜けやすい。被害者がQRコードを読み取ると、リダイレクトを経由して、認証情報を窃取するウェブサイトへ誘導される。これらの偽サイトは、Microsoft 365やOkta、VPNのログイン画面を装っているという。

FBIは、こうした手口により、多要素認証（MFA）を回避し、通常の「MFA失敗」警告を発生させることなくクラウド上のIDが乗っ取られる恐れがあると警告している。攻撃者はその後、組織のネットワーク内に持続的に潜伏し、侵害されたメールアカウントを使ってさらなるサイバー攻撃を行う可能性があるとしている。

FBIは、QRコードを悪用した攻撃に対処するため、組織に対し多層的なセキュリティ対策の導入を勧告。具体的には、出所不明のQRコードを安易に読み取らないよう従業員を教育することや、緊急性を強調する文言や信頼できる組織になりすますといったソーシャルエンジニアリング手法を見抜く訓練を実施することを挙げている。

また、ログイン情報の入力やファイルのダウンロードを行う前に、送信元を別の手段で確認することや、QRコード経由のURLを解析できるモバイル端末管理（MDM）やエンドポイントセキュリティの導入も推奨している。

米サイバーセキュリティ・インフラ安全保障庁（CISA）が2020年に発表した勧告によると、キムスキーは2012年ごろから活動しているとみられ、北朝鮮政権の指示の下、世界規模の情報収集任務を担ってきたとされる。主な標的は日米韓で、朝鮮半島情勢、制裁、核政策に関する国家安全保障や外交政策の情報収集に重点を置いているという。

アメリカ病院協会（AHA）も1月9日、FBIの警告を受けた声明を発表。協会のサイバーセキュリティ・リスク担当顧問であるジョン・リギ氏は、「キムスキーが医療分野を直接標的にしているようには見えないが、QRコードを使ったソーシャルエンジニアリング型の攻撃は、検知を回避しやすいため、医療分野を含む幅広い分野で増加している」と警鐘を鳴らした。

さらに、北朝鮮はサイバー能力を、機密情報の窃取だけでなく、弾道ミサイルや大量破壊兵器の開発資金を得る手段としても利用しているとされる。国連安全保障理事会決議に基づく制裁逃れを監視する「多国間制裁監視チーム」は、10月22日の報告書で、北朝鮮の資金洗浄に中国の金融機関の関与が考えられると指摘。

報告書によると、少なくとも15の中国系銀行が、IT関連業務や暗号資産の窃取で得た資金の洗浄に利用し、北朝鮮の関係者は、中国の店頭取引業者を通じて盗まれた暗号資産を法定通貨に換金していたという。