FBIは、北朝鮮のキムスキーAPTが悪意のあるQRコードを使用して米国組織をスピアフィッシングしていると述べている

FBIは、北朝鮮政府が支援するハッキング集団「キムスキーAPT」が、北朝鮮政策に関連する米国組織に侵入するために悪質なQRコードを使用していると述べている。.

この警告は、FBIがNGO、シンクタンク、大学、政府関連団体に配布した2025年の緊急情報で明らかになった。FBIによると、対象者には共通点がある。それは、北朝鮮について研究、助言、あるいは北朝鮮周辺で活動していることだ。.

FBIによると、Kimsuky APTはリンクの代わりにQRコードを利用する「Quishing」と呼ばれる手法でスピアフィッシングキャンペーンを実行している。.

QRコードには有害なURLが隠されており、被害者はほとんどの場合、職場のパソコンではなくスマートフォンでスキャンします。このため、攻撃者は通常はフィッシングを検出するメールフィルター、リンクスキャナー、サンドボックスツールをすり抜けることができます。.

Kimsuky APT は政策および研究対象者に QR ベースのメールを送信します

FBIによると、キムスキーAPTは2025年に複数のテーマ別メールを使用していた。それぞれのメールは標的の職業や興味に合致していた。5月には、攻撃者は外国のアドバイザーを装い、シンクタンクのリーダーにメールを送信し、朝鮮半島の最近の情勢に関する意見を求めた。メールには、アンケートを開くためのQRコードが含まれていた。.

5月下旬、このグループは大使館職員を装い、シンクタンクのシニアフェロー宛てに北朝鮮の人権問題に関する意見を求めるメールを送付しました。QRコードはセキュアドライブのロックを解除できると謳っていました。同月、シンクタンク職員を装った別のメールが届きました。QRコードをスキャンすると、悪意のある活動のために構築されたKimsuky APTインフラに誘導されました。.

FBIによると、2025年6月、このグループは戦略アドバイザリー会社を標的にしました。メールには、存在しない会議への招待メールが書かれていました。QRコードから登録ページへ誘導され、登録ボタンをクリックすると偽のGoogleログインページへ誘導されました。このページではユーザー名とパスワードが収集されていました。FBIはこのステップを、T1056.003として tracされているdent情報収集活動と関連付けました。.

QRスキャンはトークンの盗難とアカウント乗っ取りにつながる

「Qiusing の作戦は、セッション トークンの盗難とリプレイ [T1550.004] で終わることが多く、攻撃者は多要素認証 [T1550.004] を回避し、通常の「MFA 失敗」アラートをトリガーすることなくクラウド ID を乗っ取ることができdent」とFBI は述べています。

FBIによると、これらの攻撃の多くはセッショントークンの盗難とリプレイ攻撃で終わります。これにより、攻撃者はアラートをトリガーすることなく多要素認証を回避できます。アカウントはひっそりと乗っ取られます。その後、攻撃者は設定を変更し、アクセス権を追加して制御を維持します。FBIによると、侵害されたメールボックスは、同じ組織内でさらに多くのスピアフィッシングメールを送信するために利用されます。.

FBIは、これらの攻撃は個人の携帯電話から始まると指摘しています。そのため、通常のエンドポイント検出ツールやネットワーク監視の対象外となります。そのため、FBIは次のように述べています。

「クイッシングは現在、企業環境において、信頼性が高く、MFA耐性のdentID侵入ベクトルであると考えられています。」

FBIは組織に対し、リスクの軽減を強く求めています。職員に対し、メール、手紙、チラシなどからランダムにQRコードをスキャンする際の注意喚起を行うべきだとしています。また、偽の緊急性やなりすましに関する研修も実施する必要があります。職員は、ログインやファイルのダウンロードを行う前に、直接接触してQRコードの要求を確認する必要があります。また、明確な報告ルールを整備する必要があります。.

FBI はまた、「すべてのリモート アクセスおよび機密システムにフィッシング耐性のある MFA を使用する」こと、および「最小権限の原則に従ってアクセス権限を確認し、未使用または過剰なアカウント権限がないか定期的に監査する」ことを推奨しています。