北朝鮮「キムスキ」がQRを武器化──MFAと境界をすり抜ける“現実世界経由”のフィッシングです

今日の深掘りポイント

• QRは「画像」でも「物理」でも届くため、ゲートウェイやメールフィルタの外側から始まる攻撃面を提供します。BYODのスマホで読み取られると、企業の可視化・制御が届きにくいです。
• 攻撃者が狙うのはIDプロバイダのログインとセッションです。パスワードだけでなく、AiTM型フィッシングでMFA後のセッショントークンまで奪えば、一気にクラウド資産へ横展開できます。
• いま必要なのは「ユーザー教育」より一歩先の設計です。FIDO2などのフィッシング耐性MFA、デバイス準拠性を強制する条件付きアクセス、短寿命セッションとPoP（Proof-of-Possession）系トークン、そして「QRが入口になる」ことを前提にした検知・抑止の配備です。

はじめに

北朝鮮支援のサイバー諜報グループ「キムスキ（Kimsuky）」が、QRコードを使ったフィッシング──いわゆる“クイッシング”──に傾斜しているとする報道が出ています。QRに埋め込んだURLから偽ログインへ誘導し、認証情報やMFA後のセッションまで抜き取る古典的だが厄介な手口です。QRは人々の生活導線に自然に紛れこみ、スマホという「企業の管理が効きづらい端末」で読み取られる点が、従来の対策をいとも簡単に跨いでしまいます。

本稿では、公開情報で確認できる事実関係を整理した上で、なぜ今この手口が効くのか、CISO/SOCがどこにレバーをかけるべきかを、実装可能な戦術に落として考えます。

参考情報（報道）:

• Pyongyang's cyber spies are turning to QR codes for phishing attacks（The Register, 2026-01-09）

※FBIの警告に関する詳細は上記報道によるもので、現時点で筆者が確認できる公開一次文書の範囲は限定的です。以下は報道に基づく整理と、一般に知られる攻撃手法に即した分析です。

深掘り詳細

事実関係の整理

• 報道によれば、北朝鮮のキムスキがQRコードを活用したフィッシングを展開し、偽ログインページへ誘導して認証情報を窃取しているとされています。QRはメール本文や添付に埋め込まれるだけでなく、物理掲示や招待状などデジタルの外側でも配布可能で、従来のメールフィルタやURLレピュテーションを回避しやすい手段です。
• 技術的には、QRに埋め込んだURLから、攻撃者が用意したフィッシングページ（しばしば逆プロキシ系フレームワークが使われます）に誘導し、ユーザー入力のID/パスワードだけでなく、MFA完了後のセッションクッキー/トークンを窃取するAiTM型の攻撃に接続することが一般的です。これにより、MFAを形式上クリアした状態のセッションを流用し、クラウド資産へ不正アクセスが成立します。

インサイト：なぜ今、QRが効くのか

• チャネル横断で「境界」を崩せるからです。メールセキュリティは画像内URLや外部画像リンクに弱く、さらにQRが物理掲示や配布物で届くと、入口は完全に企業のコントロール外になります。最初のタップはたいていBYODのスマホで、そこから企業のID基盤にログインが飛べば、クラウド側は「正当なブラウザからのサインイン」に見えてしまいます。
• 防御設計の「抜け」はMFAのところに集約します。MFA自体は有効ですが、AiTM型でセッションを奪われると、要塞の鍵ではなく“開いた扉”を持っていかれるのと同じです。セッショントークンの流用が難しくなる設計（PoPやデバイスバインディング、短寿命化）に踏み込まないと、ユーザー教育とフィルタ強化だけでは限界があります。
• もう一つのポイントは、QRの“正当性”が見た目で判断しづらいことです。ブランドロゴ入りの告知画像や、会議室のWi‑Fi接続QR、カンファレンスのアンケートQRなどは日常の風景で、ユーザーが疑いづらい導線です。だからこそ、ユーザーに「スキャン前にURLプレビューを必ず確認する」行動を浸透させるだけでなく、環境側で“プレビューさせずに開かせない”設計を同時に進める必要があります。

脅威シナリオと影響

以下は公開報道と一般的な手口に基づく仮説シナリオです（仮説であることに留意ください）。MITRE ATT&CKは主にEnterpriseを参照しています。

• シナリオA：メール添付の画像内QRでクラウドIDを奪取

  • 概要: スピアフィッシングメールにQR画像を添付し「パスワード期限」「MFA再登録」等を名目にスキャンさせ、偽IdPページで認証・MFAを実行させる。逆プロキシでセッションクッキーを窃取し、管理者や高権限ユーザーのクラウドへ横展開。
  • 主なATT&CK:
    • T1566.001 Phishing: Spearphishing Attachment（QR画像の添付）
    • T1204 User Execution: Malicious Link（QR経由で悪性URLを開く）
    • T1550.004 Use of Alternate Authentication Material: Web Session Cookie（AiTMでセッション再利用）
    • T1078 Valid Accounts（奪取後の正規アカウント悪用）
  • 影響: 条件付きアクセスの抜け（非準拠端末からのセッション流用）、メール・ストレージ・IDP設定変更などの連鎖を誘発します。

• シナリオB：イベント会場・ビル内の物理掲示に混入

  • 概要: 会場アンケートやWi‑Fi案内を装ったQRを掲示し、個人スマホから業務クラウドへのサインインを誘導。OAuth同意画面まで誘い込み、悪性アプリに継続的アクセス権を与える“コンセント・フィッシング”に接続。
  • 主なATT&CK:
    • T1566.003 Phishing: Spearphishing via Service（メッセージ/掲示/配布物経由の誘導）
    • T1204 User Execution: Malicious Link
    • T1078 Valid Accounts（またはクラウドの権限付与の悪用）
  • 影響: メールボックスやドライブに対する長期的APIアクセスを許すと、認証情報変更後もデータ流出が継続します。

• シナリオC：社内ポスター/用度品の“なりすましITサポートQR”

  • 概要: オフィス内の掲示物・デバイスに貼付されたサポート用QRを模倣し、パスワードリセットやソフト配布を装ってHTML Smugglingやプロファイル導入を試みる。
  • 主なATT&CK（発展形）:
    • T1566, T1204（導線）
    • T1027.006 Obfuscated/Compressed Files and Information: HTML Smuggling（マルウェア/プロファイル配布がある場合）
  • 影響: エンドポイントやモバイルに永続化される設定の導入、社内横移動の足場化につながります。

これらは全て、MFAが導入済みでも被害が成立しうる点が共通項です。QRは「メール・物理・モバイル」を横断するため、防御も同様に横断的でなければ追いつかないのが要点です。

セキュリティ担当者のアクション

“やるべきこと”を、現実に回せる順で並べます。ツールよりも設計変更が効きます。

• 直ちに（0〜30日）

  • 管理者・高リスクユーザーにフィッシング耐性MFA（FIDO2/WebAuthn）を強制します。SMS/音声は段階的に廃止します。
  • IdPの条件付きアクセスで「準拠デバイス限定」を有効化し、未管理端末からのセッション成立を抑止します。少なくとも管理者ロールと機密SaaSは必須にします。
  • セッション対策を強化します。短寿命化、リフレッシュトークン再発行の厳格化、リスク検知での即時サインアウトを有効化します。AiTM疑い時はトークン失効を自動化します。
  • メールフローで「画像内のQR検知」を始めます。完全ブロックが難しい場合も、外部ドメインへ飛ぶQRは警告・隔離キュー行きにします。
  • セキュアブラウジングで「新規登録ドメイン（NRD）・短命ドメイン」へのアクセスを段階的に遮断します。URLカテゴリが“不明”の外部認証関連ページは追加の段階認証を要求します。
  • インシデント手順を更新します。AiTM疑い時の対応（セッショントークンの失効、パスワード/登録MFAの再登録、OAuth同意の棚卸し）を標準化します。

• 近々（今四半期）

  • BYODポリシーを刷新します。業務クラウドへのサインインは「準拠デバイス＋管理ブラウザ」のみ許可し、モバイルはMAM/アプリ保護ポリシー下での利用に限定します。
  • QRの“プレビュー強制”をユーザー体験に組み込みます。モバイル/デスクトップ双方で、QR経由リンクは必ずドメイン表示→ユーザー確認→隔離ブラウザで開く流れにします。
  • OAuth同意のガバナンスを強化します。ユーザーの自由同意を制限し、承認済みアプリの棚卸しと不要権限の剥奪を月次に回します。
  • 検知ユースケースを追加します。
    • IdPサインインで「未管理端末＋新規UA＋短時間のMFA成功→大量のAPIアクセス」の組み合わせ
    • 異常な同意イベント（新規アプリへの高権限付与）
    • 新規ドメイン経由の初回サインイン直後に発生する管理ポータル操作
  • 物理セキュリティと連携し、オフィス/イベント会場での掲示物QRの検証・封緘手順を設けます。来訪者が貼った不審QRの即時撤去ルーチンも決めます。

• 中期（6〜12カ月）

  • セッショントークンの“デバイス紐付け”とPoP（Proof-of-Possession）系トークンの導入を進めます。トークン単体の窃取では再利用できない設計に寄せます。
  • ゼロトラストの「継続的評価（CAE）」を強化します。ネットワーク・デバイス・ユーザーリスクの変化でセッションを即時再評価し、分単位で閉じられる運用へ。
  • 高リスク業務（財務、人事、ID管理）に“隔離ブラウザ/コンテナ”を適用し、ブラウザレベルでのAiTMやセッションクッキー露出を抑えます。
  • エンドユーザーの常時学習を“状況依存”に変えます。実際の社内配布物・会議室掲示・社内メールを模したQRシミュレーションで、プレビュー確認と報告の習慣を身につけさせます。

最後にひと言です。QRはもともと便利の象徴です。だからこそ、攻撃者は“人が疑わない導線”に仕込みます。メールを固め、エンドポイントを固めても、入り口は目の前の紙に戻ってきます。設計の重心を「リンクを踏ませない」から「踏んでも奪えない」へ。これが、今年のID防御を一段引き上げる鍵になります。The Registerの報道が示す通り、脅威の速度は落ちません。こちらの足回りを軽くして、先に手を打っておきたいところです。