北朝鮮のKimsuky、QRコードフィッシングでMFAを回避 モバイル端末を狙った新たな脅威が浮上

北朝鮮のAPTがQRコードフィッシングで新たなセキュリティ脅威を提起

最近、北朝鮮と関連するハッカーグループ「Kimsuky」が新たな戦術を採用し、セキュリティコミュニティの警戒を強めている。
同グループはフィッシングメールキャンペーンにおいて、既存のセキュリティ対策を回避する手段としてQRコードを悪用し始めた。
FBIの最新の警告によると、主な標的は米国および海外の政府機関、シンクタンク、学術機関とされている。
2025年5月から6月にかけて確認された事例では、Kimsukyが外国人顧問を装ってメールを送信し、朝鮮半島を巡る地政学的動向に関する調査を装ったQRコードを本文に含めていたという。

QRコードフィッシング手法の危険性と限界

フィッシングに悪用されたQRコードは、URL検査やサンドボックスといった最新のセキュリティメカニズムを回避できる点で、特に危険性が高いと指摘されている。
さらに、この手法は一般的な認証保護手段、とりわけ多要素認証（MFA）を無力化できる可能性があるとして警告が出されている。
攻撃者はQRコードを通じて被害者をフィッシングサイトへ誘導し、認証情報を窃取するだけでなく、セッショントークンを奪取することでMFAを迂回する。
これにより攻撃者は主導権を掌握し、組織内での持続性を確保した上で、追加のフィッシングや内部偵察といった攻撃を継続的に実行できるようになる。

モバイルデバイスを悪用した侵入戦略

Kimsukyグループの攻撃は主にモバイルデバイスを起点として行われており、こうした端末は企業のセキュリティ管理の範囲外に置かれることが多い。
その結果、エンドポイント検出・対応（EDR）プラットフォームやネットワーク防御が十分に機能せず、攻撃の検知や阻止が困難になる。
この種の攻撃は、組織のセキュリティ担当者にとって大きな課題となっており、モバイルデバイス管理（MDM）やモバイルセキュリティ対策の重要性を改めて浮き彫りにしている。

さらに、こうした攻撃手法は継続的に進化している。フィッシングおよびセキュリティ企業Barracudaの調査では、「Gabagool」と呼ばれるフィッシングパッケージが、QRコードを2つの画像に分割することでセキュリティソリューションを回避しようとする事例も確認されている。

今後求められるセキュリティ対応

今回確認された一連の手法は、複雑性と信頼性を巧みに利用した現代的なフィッシング攻撃の典型例といえる。
企業はQRコードのような一見無害に見える技術が、新たな攻撃ベクトルとして悪用され得る点を認識し、警戒を強める必要がある。
特にモバイルデバイスは従来のセキュリティ管理の死角になりやすく、その脆弱性を把握した上で適切に管理することが重要だ。
あわせて、継続的かつ体系的なセキュリティ教育と意識向上を通じて、組織全体でこうした高度化する脅威に備える姿勢が求められている。