QRコードをアスキーアート化、フィッシング攻撃で悪用される手口

アスキーアートは、コンピュータが画像表示機能を十分に備えていなかった時代に発展した表現技法だ。ASCII規格を基盤に、文字や記号のみで画像を描写する文化が広がった。後年はUnicode文字も利用されるようになったが、総称としてアスキーアートの呼称が残った。初期Webサイトの装飾や掲示板文化にも活用され、一時代を築いた歴史を持つ。

画像表示技術の進歩に伴い、アスキーアートは次第に利用機会を失った。しかし2000年代、迷惑メール送信者がフィルター回避手段として再利用した経緯がある。単語検知型フィルターを欺きやすく、画像ファイルを添付するよりも通信量を抑えられる点が理由だった。当時は通信容量課金制を採用する利用者も多く、メールソフト側で画像表示を停止する設定も一般的だった。

今回確認された攻撃では、QRコードそのものをアスキーアート化する手法が使われた。攻撃者はDocuSign経由で機密文書を共有したように装い、受信者へQRコードの読み取りを要求する。利用者がスマートフォンでコードを読み取ると、企業アカウント情報の入力ページへ誘導される仕組みだ。

メール画面ではQRコードが不自然に見える場合がある。実際には画像データではなく、疑似グラフィック文字を細かく並べて構成されているため、線の隙間やひずみが発生する。メール本文内部にも画像ファイルは存在せず、文字列だけでコードが描かれている。この結果、通常のリンクスキャナーはURLを抽出できず、画像解析型検知エンジンもQRコード内部のリンク情報を読み取れないケースが生じる。

同社は、攻撃者が「画像内リンク検知」を回避する目的で、逆にテキスト表現へ回帰している点を特徴として挙げた。かつて迷惑メール送信者はリンクを画像内へ埋め込み、文字列検知を逃れようとしていた。現在は画像解析技術が進歩したため、攻撃側が再び文字ベース手法へ戻った形となる。

他方で、QRコード自体が常に危険というわけではない。連絡先共有、モバイルアプリ配布、地図位置情報送信、設定情報配布など、スマートフォン利用を前提とした用途では利便性が高い。問題視されるのは、企業認証情報の入力を求める場面でQRコード利用を迫るケースだ。アスキーアート化されたQRコードであれば、検知回避意図を疑うべき兆候になると同社は指摘した。

対策面において、Kasperskyは高度なフィッシング対策機能を備えたセキュアメールゲートウェイの導入を推奨した。メール段階で危険な内容を遮断し、端末側にもセキュリティ製品を配備する多層防御が有効と説明している。従業員教育も欠かせず、アスキーアートを含む不自然なメール表現を危険信号として認識させる必要があるとした。