マイクロソフトQRコードフィッシングがユーザーの資格情報を狙っていると専門家が警告

By: Fatima P.Last updated:February 27, 2025

サイバーセキュリティ専門家は、マイクロソフトスウェイを利用して偽のランディングページをホストし、資格情報、多要素認証(MFA)コード、クッキーを盗む新しいQRコードフィッシングキャンペーン、「クィッシング」としても知られるものを発見しました。

Swayは、2015年にMicrosoft 365製品ファミリーの一部としてリリースされた無料のクラウドベースのデジタルストーリーテリングアプリです。ユーザーは、レポート、個人のストーリー、プレゼンテーション、文書などのためにインタラクティブなデザインを作成して共有することができます。

ネットスコープ・スレット・ラボというサイバーセキュリティ企業が、2024年7月にクィッシング詐欺を初めて記録しました。その企業は、Sway上でのサイバー攻撃キャンペーンが2000倍に増加しており、Microsoftのセキュリティ対策をバイパスする様々な手法を使用していることを検出しました。

これらのサイバー攻撃の連発は、主にアジアや北アメリカを中心に、テクノロジー、製造、金融業界を標的にしていました。

ネスコープは、マイクロソフトのQRコードを用いたフィッシングキャンペーンがEメールから始まったことを確認しています。

Microsoft QR code phishing

研究者は、Swayユーザー宛に送信された電子メールが、sway.cloud.microsoftドメインでホストされたフィッシング着地ページにリダイレクトされることが判明しました。これらのフィッシングページは、 偽造されたQRコード 他の悪質なウェブページに誘導するためにユーザーにスキャンを促すようにしていた。

URLが画像の中に埋め込まれているため、テキストベースのコンテンツしかスキャンできない電子メールスキャナーをバイパスすることができます。さらに、ユーザーがQRコードを送られた場合、モバイル電話など別のデバイスを使用してコードをスキャンすることがあります。 ネツコープの研究者は観察しました。

ユーザーに携帯電話を使用してこれらのQRコードをスキャンさせるよう促すことは一般的な詐欺の戦略です。ほとんどの携帯電話はセキュリティ対策が弱いためです。

悪意のある者は、スマートフォンでのフィッシング攻撃に対するセキュリティ対策を回避する可能性が高いです。なぜなら、スマートフォンには通常、アンチウイルスソフトウェアやエンドポイント検知応答ソリューションが装備されていないためです。これらのソリューションは通常、PCにのみ存在します。

携帯端末に実施されるセキュリティ対策は、特に個人の携帯電話においては、通常、ノートパソコンやデスクトップほど厳格ではないため、被害者はしばしば乱用されやすいのが現状です。 研究者たちが追加しました。

QRコードのフィッシングキャンペーンは、Cloudflare Turnstileを利用して検知を回避しました。

QR code data phishing

これらのフィッシングキャンペーンをさらに効果的にするのは、信頼できるウェブソフトウェアを使用してより信憑性を高め、詐欺手法の検出を逃れることです。

研究者は、これらの詐欺師が静的URLスキャナーやウェブフィルタリングサービスから着陸ページを隠すためにCloudflare Turnstileを使用していたことを確認しました。これにより、詐欺師は良い評判を維持し、ウェブサイトをボットから保護するためのツールでさえも彼らに検出されなくなりました。

サイバー攻撃者は、敵対者インザミドル攻撃を利用した透明なフィッシングも活用しました。この詐欺手法は盗みました。 多要素認証コード 被害者の正規のマイクロソフトアカウントにログインしながら、類似したページを通じて。

ログインしたマイクロソフトアカウントの戦術を使うことで、ユーザーは正規のウェブサイトにアクセスしていると思い込ませられ、信頼を得て警戒心を下げてしまった。

正当なクラウドアプリケーションを使用することで、攻撃者は被害者に信頼性を提供し、それが提供するコンテンツを信頼させるのを助けます。

さらに、被害者がすでにログインしているMicrosoft 365アカウントを使用してSwayページを開くことで、その信憑性について説得される可能性があります。 ネットスコープの研究者たちは指摘しました。

これが初めてではありません:Microsoft Swayはフィッシング攻撃の記録があります。

2020年4月、悪質な行為者が、「PerSwaysion」と呼ばれる類似のフィッシングキャンペーンを実施し、マルウェアサービス(MaaS)運用に含まれるフィッシングキットを使用して、Office 365のログイン認証情報を標的にしました。

Group-IBのセキュリティ研究者は、このキャンペーンがMicrosoft Swayを活用して、中小規模の金融サービス企業、法律事務所、不動産グループの幹部や取締役を狙っていることを発見しました。

156件以上の資格情報が、企業のメールを侵害することで収集されました。これらのフィッシングされたアカウントのうち少なくとも20件は、米国、カナダ、ドイツ、香港、シンガポール、オランダ、英国のさまざまな企業の幹部に属しています。

証拠によると、詐欺師は潜在的な被害者の立場を評価するためにLinkedInプロフィールを利用する可能性が高いです。

そのような戦術は、現在の被害者の同僚からの早期警告の可能性を削減し、新しいフィッシングサイクルの成功率を高めます。 Gorup-IBの研究者が述べました。

QRコードの画像ベースの性質が悪用され、フィッシングキャンペーンが展開されています。

Fake QR codes

サイバーセキュリティ対策の向上は、Microsoftなどのテクノロジー企業やソフトウェア・サービス提供組織の主要な使命の一つです。 無料QRコードジェネレータ オンラインで。

より厳格なサイバーセキュリティ対策の開発の最中、悪意ある行為者も彼らのフィッシングキャンペーンや対策を強化しています。彼らは正当なサイバーセキュリティアプリの隙間を利用して、より賢くなっています。

これらのSwayへのフィッシング攻撃から示されるように、脆弱性はQRコードなどの画像ベースの脅威にあります。ほとんどのメールスキャナーは、テキストベースのコンテンツのみをスキャンするように調整されており、画像内のURLをスキャンすることはできません。

QRコードを使用して被害者をフィッシングサイトにリダイレクトすることは、防御側にいくつかの課題をもたらします。

URL が画像の中に埋め込まれているため、テキストベースのコンテンツのみをスキャンできるメールスキャナーは回避される可能性があります。 ネツコープは反論した。

企業はセキュリティポリシーを見直し、サイバーセキュリティを強化する必要があります。

フィッシングキャンペーンの進展は、組織に対してウェブやクラウドトラフィックのスキャンやフィルタリングに関するサイバーセキュリティポリシーを見直すよう促すサインとなります。より良いポリシーは、従業員が悪意のあるウェブサイトにアクセスする可能性を減らします。

同時に、個々のユーザーはクリックする前にURLを確認することをお勧めします。さらには、QRコードのフィッシング詐欺に引っかからないように、ウェブサイトをブラウザのアドレスバーに直接入力することが良いでしょう。

最近、QRコードを利用したフィッシングが深刻な問題となっており、減少する可能性は低いようです。最近、Cofenseの調査によると、QRコードを利用した脅威に関する報告が331%増加したことがわかりました。 コフィーンスのマックス・ガノンが述べました。

このキャンペーンでのMicrosoft Swayの悪用は、脅威行為者が多くの自動セキュリティコントロールを迂回するための簡単な手段を持っていることをさらに強調しています。信頼された共有サービスを単に悪用するだけで済むということです。 ガノンは追加しました。