キムスキフィッシングQRコード攻撃
米国連邦捜査局(FBI)は、北朝鮮の国家支援を受けた脅威アクターが、米国内の組織を標的とした高度に標的を絞ったスピアフィッシング攻撃において、悪意のあるQRコードを積極的に利用していると警告する公式勧告を発表しました。2025年を通して確認されているこれらの活動は、「クイッシング」、つまりクイックレスポンス(QR)コードを利用して悪意のあるコンテンツを拡散するフィッシング攻撃への移行が進んでいることを示しています。
目次
キャンペーンの背後にいるのは誰ですか?
この活動は、セキュリティコミュニティではAPT43、Black Banshee、Emerald Sleet、Springtail、TA427、Velvet Chollimaとしても知られる脅威グループ「Kimsuky」によるものとされています。このクラスターは、北朝鮮の偵察総局(RGB)との関連性があると推定されています。
Kimsukyは、特にメール認証制御を回避または弱体化させることを目的とした、高度なスピアフィッシング攻撃で長年悪名高い。2024年5月、米国政府は、このグループがDMARCポリシーの脆弱性や不適切な設定を悪用し、正規のドメインを巧妙に偽装したメールを送信していたことを公表した。
QRコードがなぜこのような攻撃を危険なものにするのか
従来のフィッシングとは異なり、QRコードベースのルアーは、被害者を企業管理のシステムから個人のデバイスや保護が緩いモバイルデバイスへと誘導します。この変化により、攻撃者は企業のメールセキュリティツール、エンドポイント保護プラットフォーム、ネットワーク監視制御を回避できるようになります。
悪意のある QR コードはスキャンされると、攻撃者が管理するインフラストラクチャにターゲットを誘導し、標準的なエンタープライズアラートをトリガーすることなく、資格情報、セッション Cookie、または機密データを収集できます。
FBIが観測した2025年の攻撃シナリオ
FBIは、2025年5月と6月にキムスキーの攻撃者らが実施した以下の複数の標的型攻撃キャンペーンを報告した。
- 外交政策顧問になりすまし、シンクタンクのリーダーにQRコードをスキャンして朝鮮半島情勢に関するアンケートにアクセスするよう依頼する
- 大使館職員を装い、北朝鮮の人権問題に関する専門家の意見を求め、「セキュアドライブ」にリンクすると主張するQRコード
- シンクタンクの職員を装い、被害者を攻撃者が管理するインフラにリダイレクトするQRコードを送信し、その後の悪用を行う
- 偽の会議招待状で戦略コンサルティング会社を標的にし、偽のログインポータルを通じて Google アカウントの認証情報を盗むために作成された不正な登録ページにつながる QR コードを使用しました。
これらの事件は、セキュリティ研究者による別の暴露の直後に起きた。セキュリティ研究者は、ソウルに拠点を置く物流会社を装ったフィッシングメールを通じて、新たなAndroidマルウェアの亜種である「DocSwap」を配布する、Kimsukyが運営するQRキャンペーンを発見した。
クイッシングがMFA耐性のある侵入を可能にする仕組み
現代のクイッシング攻撃は、セッショントークンの盗難とリプレイ攻撃に繋がるケースが多々あります。攻撃者はアクティブな認証トークンを盗み取ることで、多要素認証を完全に回避し、通常の「MFA失敗」警告をトリガーすることなくクラウドIDを乗っ取ることができます。
そこから、攻撃者は被害者の環境内に永続性を確立し、多くの場合、侵害されたメールボックスを利用して内部で二次的なスピアフィッシングキャンペーンを開始します。最初の侵害は、標準的なEDRの適用範囲とネットワーク検査の境界外にある、管理されていないモバイルデバイスで発生するため、キッシングは現在、企業環境において、MFAに耐性のある信頼性の高いID侵入手法と見なされています。
