EvilQR3 徹底解説:QRコードを利用したフィッシングツールの使い方と注意点

セキュリティツール
EvilQR3QRコード注意喚起

近年、QRコードは私たちの生活のあらゆる場面で利用されています。Webサイトへのアクセス、キャッシュレス決済、イベントチケット、Wi-Fi接続など、その利便性は計り知れません。しかし、その便利さの裏側には、悪意のある攻撃者が潜んでいる可能性があります。QRコードを悪用したフィッシング攻撃、通称「クイッシング (Quishing)」が新たな脅威として認識されつつあります。

この記事では、セキュリティ研究やレッドチーム演習などの目的で開発されたツールの一つである EvilQR3 に焦点を当て、その機能、使い方、そして最も重要な倫理的な側面とリスクについて詳しく解説します。EvilQR3 は、QRコードを用いたフィッシング攻撃を実演するためのツールであり、Wifipumpkin3 という無線LANセキュリティテストフレームワークの一部として提供されています。

⚠️ 重要: この記事で紹介する情報は、教育およびセキュリティ研究目的に限定して提供するものです。EvilQR3 や同様のツールを許可なく他人のシステムやネットワークに対して使用することは、重大な法律違反となり、処罰の対象となります。不正な目的でのツールの使用は絶対にやめてください。

EvilQR3 とは何か? 🤔

EvilQR3 は、QRコードを利用したフィッシング攻撃 (QR Phishing) を実行するためのツールです。具体的には、特定のWebサービス(例:Discordなど)へのログインプロセスで表示されるQRコードをリアルタイムで取得し、それを偽のWebページ(フィッシングページ)に表示させます。ユーザーがその偽ページのQRコードを正規のアプリでスキャンしてしまうと、攻撃者のセッションが有効になり、アカウントが乗っ取られる可能性があります。

EvilQR3 は、より広範な無線LAN攻撃フレームワークである Wifipumpkin3 のプラグイン(プロキシモジュール)として開発されました。Wifipumpkin3 は、偽のアクセスポイント(Rogue AP)を作成し、中間者攻撃(Man-in-the-Middle, MitM)を行うための強力なツールキットであり、EvilQR3 はその機能を拡張する形でQRコードフィッシングのシナリオを実現します。

元々は、mrgretzky氏によって開発された Evil QR という概念実証ツールがあり、EvilQR3 はこれを Wifipumpkin3 にネイティブ実装として移植したものです。これにより、Wifipumpkin3 の他の攻撃モジュールと連携させることが可能になりました。

EvilQR3 (Wifipumpkin3) の主な機能 🛠️

EvilQR3 は Wifipumpkin3 フレームワークの一部であるため、Wifipumpkin3 が持つ多くの機能と連携して動作します。以下に Wifipumpkin3 の主な機能と、EvilQR3 が関連する機能を示します。

  • 偽アクセスポイント攻撃 (Rogue Access Point Attack): 正規のWi-Fiネットワークを装った偽のアクセスポイントを作成します。
  • 中間者攻撃 (Man-in-the-Middle Attack): 偽APに接続したユーザーの通信を傍受、改ざんします。
  • 認証情報収集 (Credentials Harvesting): 偽のログインページ(キャプティブポータル)などを通じて、IDやパスワードを収集します。
  • Phishkin3: 多要素認証 (MFA) に対応したフィッシング攻撃をキャプティブポータル経由で実行します。
  • EvilQR3: QRコードを利用したフィッシング攻撃を実行します。 (👈 今回の主役!)
  • DNSスプーフィング (Rogue DNS Server): DNSリクエストを偽装し、ユーザーを不正なサイトへ誘導します。
  • 透過プロキシ (Transparent Proxies): ユーザーの通信を透過的にプロキシ経由にし、内容を検査・改ざんします。
  • Webトラフィックの傍受・改ざん・再生: HTTP/HTTPS通信の内容を確認したり、書き換えたりします。
  • Wi-Fiネットワークスキャン: 周辺のWi-Fiネットワークを探索します。
  • 認証解除攻撃 (Deauthentication Attack): ユーザーを正規のネットワークから強制的に切断させ、偽APへの接続を促します。
  • RESTful API: 外部から Wifipumpkin3 を操作するためのAPIを提供します。

EvilQR3 は、これらの機能、特に偽アクセスポイントやキャプティブポータルと組み合わせて使用されることで、より効果的な(そして悪意のある)攻撃シナリオを構築することが可能になります。

インストール方法 ⚙️

EvilQR3 は Wifipumpkin3 の一部として提供されるため、Wifipumpkin3 をインストールする必要があります。Wifipumpkin3 は Python で書かれており、主に Linux 環境での使用が想定されています。特に、Kali Linux などのペネトレーションテスト用ディストリビューションでは、標準リポジトリに含まれている場合があります。

Kali Linux でのインストール

Kali Linux を使用している場合、以下のコマンドで簡単にインストールできます。

sudo apt update
sudo apt install wifipumpkin3

これにより、Wifipumpkin3 本体と、EvilQR3 を含む関連ツール (captiveflask, phishkin3, sslstrip3 など) がインストールされます。

GitHub からのインストール

最新版や開発版を使用したい場合、または他の Linux ディストリビューションで使用する場合は、GitHub リポジトリから直接クローンしてインストールすることも可能です。

# 必要な依存パッケージをインストール (Debian/Ubuntu系の場合)
sudo apt update
sudo apt install python3 python3-pip libssl-dev libffi-dev build-essential python3-pyqt5 hostapd dnsmasq net-tools iw wireless-tools iptables

# リポジトリをクローン
git clone https://github.com/P0cL4bs/wifipumpkin3.git
cd wifipumpkin3

# 依存関係をインストール (Python 3.8以上が必要な点に注意)
sudo python3 setup.py install
# または pip を使用
# pip3 install -r requirements.txt
# sudo python3 setup.py install

インストールプロセス中にエラーが発生した場合は、エラーメッセージを確認し、不足しているライブラリやツールを追加でインストールしてください。特に Python のバージョン (3.8以上が必要) や、`hostapd`, `iptables` などのシステムツールが正しくインストールされ、設定されているか確認が必要です。

Wifipumpkin3 の GitHub リポジトリ: https://github.com/P0cL4bs/wifipumpkin3

EvilQR3 の基本的な使い方 (コマンドライン) 💻

EvilQR3 は Wifipumpkin3 のプロキシプラグインとして動作しますが、単独のコマンドラインツール `evilqr3` としても(限定的ながら)呼び出すことができます。ただし、その真価を発揮するのは Wifipumpkin3 のインターフェース内で他のモジュールと連携させる場合です。

ここでは、まず `evilqr3` コマンドのヘルプオプションを確認してみましょう。Kali Linux などで Wifipumpkin3 がインストールされていれば、ターミナルから以下のコマンドを実行できます。 

evilqr3 -h

これにより、利用可能なオプションが表示されます。

[*] EvilQR3 v0.0.1 - subtool from wifipumpkin3
usage: evilqr3 [-h] -t TEMPLATE -s STATIC [-p PORT] [-rU REDIRECT_URL] -sa SERVER_ADDRESS -mu MATCH_USERAGENT -tp TOKEN_API [-d DEBUG] [-v VERSION]

EvilQR3 -

options:
  -h, --help            show this help message and exit
  -t, --tamplate TEMPLATE
                        path the theme login page template
  -s, --static STATIC   path of the static files from webpage
  -p, --port PORT       The port for the phishing page server
  -rU, --redirect-url REDIRECT_URL
                        Url for redirect after user scans the QR code
  -sa, --server-address SERVER_ADDRESS
                        Address of the server where the QR code image will be hosted
  -mu, --match-useragent MATCH_USERAGENT
                        User agent string to match for the QR code generating client (attacker's browser)
  -tp, --token-api TOKEN_API
                        API token for authenticating requests to the EvilQR server
  -d, --debug           Enable debug mode
  -v, --version VERSION show version the tool

これらのオプションは、EvilQR3 がフィッシングページをホストし、攻撃者のブラウザ(QRコードを生成する側)と連携するための設定を指定します。

  • -t TEMPLATE: フィッシングページのHTMLテンプレートファイルのパス。
  • -s STATIC: フィッシングページで使用するCSSや画像などの静的ファイルが格納されているディレクトリのパス。
  • -p PORT: フィッシングページをホストするサーバーのポート番号。
  • -rU REDIRECT_URL: ユーザーがQRコードをスキャンした後にリダイレクトされるURL。
  • -sa SERVER_ADDRESS: 攻撃者が生成したQRコード画像をアップロード・ホストするサーバーのアドレス。
  • -mu MATCH_USERAGENT: 攻撃者のブラウザ(QRコードを生成・アップロードするクライアント)を識別するためのユーザーエージェント文字列。
  • -tp TOKEN_API: EvilQRサーバーへのリクエストを認証するためのAPIトークン。

しかし、実際にはこれらのオプションを直接指定して `evilqr3` コマンド単体で実行することは稀です。通常は、Wifipumpkin3 の対話型コンソール内でプロキシプラグインとして EvilQR3 を有効にし、設定を行います。

Wifipumpkin3 内での EvilQR3 の利用シナリオ例 🎃

Wifipumpkin3 を使った EvilQR3 の攻撃シナリオは、一般的に以下のステップで行われます(あくまで教育・研究目的の説明です)。

  1. Wifipumpkin3 の起動: ターミナルから `sudo wifipumpkin3` コマンドで起動します。
  2. インターフェースの設定: インターネット共有用のインターフェースと、偽APを立てるための無線LANインターフェースを指定します。
  3. 偽APの設定: 偽APの名前(SSID)、セキュリティ(通常はオープン)、チャンネルなどを設定します。
  4. プロキシプラグインの選択: 使用するプロキシプラグインとして `EvilQR3` を選択します。 
    wp3> set proxy.name evilqr3
  5. EvilQR3 の設定: EvilQR3 プラグインに必要な設定(テンプレート、ターゲットサービスなど)を行います。Wifipumpkin3 のコンソール内で `set proxy.evilqr3.` に続けて Tab キーを押すと、設定可能なパラメータが表示される場合があります。具体的な設定項目は Wifipumpkin3 のバージョンやテンプレートによって異なります。
  6. 攻撃の開始: `start` コマンドで偽APとプロキシサーバー(EvilQR3)を起動します。 
    wp3> start
  7. 攻撃者の操作 (QRコード生成): 攻撃者は、ターゲットとするサービス(例: Discord)のログインページをブラウザで開きます。この際、Wifipumpkin3 (EvilQR3) が提供する特別な方法(例: ブラウザ拡張機能やプロキシ経由)でアクセスし、ログイン用QRコードを EvilQR3 サーバーに送信します。
  8. 標的ユーザーの操作: 標的ユーザーが偽APに接続します。
  9. フィッシングページの表示: ユーザーがブラウザを開くと、キャプティブポータルやDNSスプーフィングによって EvilQR3 がホストするフィッシングページに誘導されます。このページには、攻撃者がリアルタイムで生成・アップロードした正規サービス(例: Discord)のログイン用QRコードが表示されています。
  10. QRコードのスキャン: ユーザーが騙されて、自身のスマートフォンの正規アプリ(例: Discordアプリ)でフィッシングページ上のQRコードをスキャンします。
  11. アカウント乗っ取り: スキャンが成功すると、それは攻撃者のブラウザで表示されていたログインQRコードに対する認証として扱われ、攻撃者のセッションが有効になります。結果として、攻撃者はユーザーのアカウントにアクセスできるようになります。

この一連の流れは、技術的な知識と適切な設定、そして何よりも標的となるユーザーを騙すためのソーシャルエンジニアリングが組み合わさって初めて(悪用が)可能になります。

繰り返しになりますが、これらの手順はあくまで技術的な解説であり、実際の攻撃に利用することは絶対に許されません。

倫理的な考慮事項とリスク ⚖️

EvilQR3 や Wifipumpkin3 のようなツールは、セキュリティ専門家がシステムの脆弱性を評価し、防御策をテストするために非常に役立ちます。しかし、その強力さゆえに、悪用された場合の被害は甚大です。

悪用の危険性

  • アカウント乗っ取り: 最も直接的なリスクです。攻撃者は、SNSアカウント、メールアカウント、オンラインバンキングなど、QRコードログインに対応している様々なサービスのアカウントを乗っ取る可能性があります。
  • 個人情報・機密情報の窃取: 乗っ取ったアカウントを通じて、個人情報、財務情報、企業の機密情報などが盗まれる恐れがあります。
  • マルウェア感染: QRコードはURLだけでなく、悪意のあるスクリプトやマルウェアダウンロードサイトへのリンクを含むことも可能です。ユーザーが不用意にスキャンすることで、デバイスがマルウェアに感染するリスクがあります。2023年以降、QRコードを用いたフィッシングメールや、マルウェア感染を狙う手口が増加していると報告されています。
  • 不正送金: QRコード決済サービスを悪用し、不正な送金を行わせる手口も考えられます。
  • なりすましと二次被害: 乗っ取ったアカウントを利用して、さらに他のユーザーへのフィッシング攻撃や詐欺行為を行うなど、被害が拡大する可能性があります。

法的・倫理的な問題

許可なく他人のアカウントやシステムにアクセスしようとすることは、多くの国で不正アクセス禁止法などの法律によって厳しく禁じられています。EvilQR3 を悪用した攻撃は、これらの法律に抵触する犯罪行為です。

たとえ学習目的であっても、自分自身が管理する環境以外でこれらのツールを試すことは絶対に避けるべきです。公共のWi-Fiネットワークなどで安易に実験を行うことも、意図せず他人に影響を与え、法的な問題に発展する可能性があります。

セキュリティ研究者やペネトレーションテスターは、常に倫理規定を遵守し、適切な許可と同意を得た上で活動する必要があります。

QRコードフィッシング (クイッシング) から身を守る方法🛡️

EvilQR3 のようなツールによる攻撃や、一般的なクイッシングから身を守るためには、以下の対策を心がけることが重要です。

  • 提供元不明なQRコードはスキャンしない: メール、SMS、SNSのダイレクトメッセージ、街中のポスターなどで見かけるQRコードを安易にスキャンしないようにしましょう。特に、緊急性を煽るようなメッセージや、うますぎる話(無料クーポン、当選通知など)には注意が必要です。
  • スキャン後のURLを確認する: QRコードをスキャンした後、ブラウザやアプリがWebサイトにアクセスしようとする際には、必ず表示されるURLを確認しましょう。
    • 正規のドメイン名と一致しているか? (例: `microsoft.com` と `micorsoft.com` のような微妙な違いに注意)
    • HTTPSで暗号化されているか? (URLが `https://` で始まっているか)
    • 短縮URLが使われている場合は特に注意し、可能であれば展開後のURLを確認するサービスを利用する。
    スマートフォンの画面は小さくURL全体が見にくい場合があるため、特に注意深く確認する習慣をつけましょう。
  • ログイン情報は慎重に入力する: QRコードから誘導されたサイトで、ID、パスワード、個人情報、クレジットカード情報などの入力を求められた場合は、それが本当に正規のサイトであるか、なぜその情報が必要なのかを十分に確認してください。少しでも怪しいと感じたら入力を中止しましょう。
  • 公式アプリやブックマークを利用する: Webサービスへのログインは、可能な限り公式アプリや事前に登録したブックマークから行うようにし、メールやメッセージ内のリンクやQRコードからのアクセスを避けるようにしましょう。
  • 多要素認証 (MFA) を有効にする: ログインに多要素認証を設定しておくことで、万が一パスワードが漏洩しても、不正ログインのリスクを大幅に低減できます。ただし、Phishkin3 のようなツールはMFAを突破しようとするため、MFAを設定していても油断は禁物です。認証要求が来た際には、それが自身の操作によるものか必ず確認しましょう。
  • 公共Wi-Fiの利用には注意する: カフェや空港などの公共Wi-Fiは、偽APが設置されている可能性があります。重要な通信(オンラインバンキング、企業の機密情報アクセスなど)は避けるか、信頼できるVPNサービスを利用しましょう。ネットワーク名 (SSID) が似ていても安易に接続しないように注意が必要です。
  • OSやソフトウェアを最新の状態に保つ: スマートフォンやPCのOS、ブラウザ、セキュリティソフトなどを常に最新の状態にアップデートし、既知の脆弱性を修正しておくことが重要です。
  • セキュリティソフトを導入する: 信頼できるセキュリティソフトを導入し、フィッシングサイトのブロック機能やマルウェア対策機能を有効にしておきましょう。

2023年頃から、Microsoft 365 の認証情報を狙ったQRコードフィッシングメールや、Amazonなどの大手通販サイトを騙るQRコードを用いたフィッシングが増加しているとの報告があります。また、海外では駐車料金支払い用のQRコードが偽物にすり替えられる事例も発生しています。常に警戒心を持つことが重要です。

まとめ ✨

EvilQR3 は、Wifipumpkin3 フレームワークの一部として、QRコードを利用したフィッシング攻撃のメカニズムを理解し、それに対する防御策を研究・テストするために開発されたツールです。偽AP、中間者攻撃、キャプティブポータルといった他の機能と組み合わせることで、巧妙な攻撃シナリオをシミュレートできます。

しかし、その能力は諸刃の剣であり、悪用されれば深刻な被害を引き起こす可能性があります。アカウント乗っ取り、情報窃取、マルウェア感染などのリスクがあり、不正な使用は法的に罰せられます。

私たちは、このようなツールの存在を知り、その手口を理解することで、QRコードフィッシング(クイッシング)をはじめとするサイバー攻撃に対する防御意識を高める必要があります。不審なQRコードはスキャンせず、アクセス先のURLを常に確認し、ログイン情報の入力は慎重に行うなど、基本的なセキュリティ対策を徹底することが、自身のアカウントや情報を守るための鍵となります。

この記事が、EvilQR3 および QRコードフィッシングの脅威についての理解を深め、安全なデジタルライフを送るための一助となれば幸いです。ツールの利用は、常に法と倫理の範囲内で、正当な目的に限定してください。 🙏

コメント

タイトルとURLをコピーしました