QRコードログインを悪用した「QRフィッシング」、スマホ連携認証の盲点を突く新手口

背景

Webサービスや業務アプリで「ID・パスワードを入力せず、スマホアプリでQRコードを読み取ってログインする」仕組みが急速に広まっています。PCのログイン画面に表示されたQRコードをスマートフォンで読み取るだけで認証が完了するため、利便性が高く、カフェや出張先などパスワード入力がしづらい環境でも安全にログインできるとされています。しかし、攻撃者はこの「QRコードログイン」の仕組みを悪用し、偽のQRコード画面を用いたフィッシング攻撃を展開しています。従来のフィッシングと異なり、「スマホアプリでログイン操作を行う」ため、ユーザーは安全だと誤認しやすく、新たな認証情報窃取の経路となっています。Microsoft 365、各種SNS、クラウド開発環境など、QRログイン機能を持つ多数のサービスで悪用可能な手口として警戒が高まっています。

実態

QRログイン・フィッシングの典型的な手口は、攻撃者が本物そっくりのログインページを偽サイト上に用意し、そこに攻撃者自身のセッションと紐づく正規のQRコードを表示するというものです。被害者がPCブラウザで偽ログインページを開き、画面上のQRコードを公式スマホアプリで読み取ると、スマホ側では「いつものログイン承認画面」が表示されるため、ユーザーは疑わずに承認してしまいます。実際にはこのQRコードは攻撃者の端末上で開かれているセッションと紐づいており、承認が完了すると攻撃者側のブラウザが被害者のアカウントでログインされた状態になります。ユーザーは自分のPCでログインに失敗しても「通信エラーかな」程度にしか思わず、その間に攻撃者はメール・クラウドストレージ・チャット・社内ポータルなどに不正アクセスします。この攻撃は、フィッシングメールのリンクから偽サイトに誘導される場合もあれば、マルバタイジング（悪意ある広告）やSEOポイズニングを通じて検索結果から誘導される場合もあります。

影響と対策

QRログインが不正に利用されると、ID・パスワードを盗まれなくても、攻撃者は正規セッションを乗っ取ることができ、クラウドサービス全体への不正アクセスに繋がります。対策としては、まずユーザー教育が重要です。「QRログインだから安全」と思い込まず、PC側のURLが正規ドメインかを必ず確認することを徹底します。また、「メールやチャットで送られてきたリンク先からはログインしない」「ブックマークや公式アプリからのみログインページを開く」といった基本原則も有効です。技術的には、FortiGateやCheck PointのWebフィルタリング機能で、偽ログインサイトとして報告されているドメインや、新規登録直後の不審ドメインへのアクセスをブロックします。さらに、クラウドサービス側の設定で、異常な接続元IPやデバイスからのログインを検知した際に追加認証を要求する「条件付きアクセス」を有効化し、万一QRフィッシングが成功しても、リスクの高いアクセスには再認証を求める仕組みを導入することが有効です。

まとめ

QRコードログインは便利な一方で、「QRだから安全」という思い込みを突いた新たなフィッシング手口が登場しています。重要なのは、認証方式に依存せず、「アクセス先URLの確認」と「公式ルートからのログイン」という基本を徹底することです。PSIでは、Webフィルタリングと条件付きアクセス制御を組み合わせたクラウド認証防御の設計支援と、QRログインを含む最新フィッシング事例を踏まえたユーザー教育プログラムの提供を通じて、安全な認証環境の構築をご支援いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp