クイッシング（QRコード詐欺）とは？手口と企業が取るべき対策を解説

QRコード決済やキャンペーン応募、飲食店のメニュー表示など、私たちの生活のあらゆる場面でQRコードが活用されています。
読み取るだけで簡単に情報へアクセスできる便利さが広く受け入れられている一方で、この利便性を逆手に取った「クイッシング（QRコード詐欺）」という新たな脅威が増加しています。

QRコードはURLが見えないため、悪意のあるサイトへの誘導に気づきにくく、従来のセキュリティ製品でも検知が難しいという特徴があります。
本記事では、クイッシングの具体的な手口と、企業・個人が実践すべき対策について詳しく解説します。

クイッシング（QRコード詐欺）とは

クイッシング（Quishing）とは、「QR Code（QRコード）」と「Phishing（フィッシング）」を組み合わせた造語で、QRコードを使ったフィッシング攻撃を指します。

攻撃者は正規のサービスを装ったQRコードを作成し、ユーザーをフィッシングサイトやマルウェア配布サイトへ誘導します。読み取ったユーザーは、個人情報・認証情報・金融情報などを盗まれたり、デバイスをマルウェアに感染させられたりする被害に遭います。QRコード作成ツールは無料で提供されており、誰でも容易に悪意あるコードを生成できる環境にあります。

従来のフィッシング攻撃では、メールやSMS本文にURLが記載されているため、不審なリンクかどうかを確認できました。しかし、QRコードは画像として埋め込まれているため、リンク先URLを見ただけでは判別できません。さらに、多くのメールセキュリティ製品はQRコード内のURLを解析できないため、検知を回避されやすいという課題があります。

クイッシングが危険な理由

クイッシングが従来のフィッシング攻撃より危険とされる理由は以下の3点です。

URLが見えないため判別が困難

QRコードは画像データとして扱われるため、スキャンするまでリンク先が分かりません。テキストリンクであれば、不審なドメインや誤字に気付くことができますが、QRコードではその機会がありません。

セキュリティ製品での検知が難しい

多くのメールフィルタやセキュリティゲートウェイは、テキストベースのURL検査に特化しており、QRコード内に埋め込まれたURLを解析できません。このため、悪意あるQRコードが受信トレイに届きやすい状況にあります。

短縮URLとの組み合わせでさらに判別困難に

QRコード読み取り時に短縮URLが表示されるケースでは、実際のリンク先が隠蔽され、正規サイトか偽装サイトかの判断がさらに難しくなります。

クイッシングの主な手口

クイッシング攻撃には、いくつかの典型的な手口があります。ここでは代表的な攻撃パターンをご紹介します。

フィッシングサイトへの誘導

攻撃者は、金融機関やECサイト、企業の社内システムなどを装ったメールを送信し、QRコードを読み取らせて偽サイトへ誘導します。
誘導先では、ログイン情報やクレジットカード番号、個人情報の入力を求められ、入力した情報が攻撃者に窃取されます。

表示されるURLが正規サイトに酷似していたり、短縮URLが使われていたりするため、気づかずに情報を入力してしまうケースが多発しています。

マルウェアのインストール

QRコードをスキャンすると、マルウェアのダウンロードページへ自動的に遷移するパターンもあります。
ユーザーがそのまま実行すると、デバイスがマルウェアに感染し、内部データの窃取やデバイスの遠隔操作などの被害を受ける可能性があります。

不正な決済への誘導

QRコード決済の普及に伴い、支払いを促すタイプのクイッシングも増加しています。
「緊急の請求」「未払いの料金」などと記載したメールやSMSとともに偽のQRコードを送り付け、正規の決済サービスページへ誘導することで、ユーザーに気づかれずに金銭を詐取します。

物理的なQRコードのすり替え

メールだけでなく、物理的な場所でもクイッシングは発生しています。
正規のQRコードの上に偽のQRコードステッカーを貼り付ける手口も報告されており、海外では駐車料金支払い用のQRコードがすり替えられ、支払い情報が盗まれる事件も発生しています。

また、ダイレクトメールやチラシに「無料クーポン」「限定キャンペーン」などの魅力的な文言とともにQRコードを掲載し、個人情報を不正に収集する手口も確認されています。
こうした手口は今後さらに多様化・巧妙化していくと考えられます。

クイッシングへの対策

クイッシング被害を防ぐためには、組織と個人の両方で対策を講じる必要があります。

不審なQRコードは読み取らない

見知らぬ送信元からQRコード付きメールやSMSが届いた場合、安易に読み取らないことが基本です。
特に「パスワード再設定」「カード情報の確認」「緊急のお知らせ」など、行動を急がせる文面には注意が必要です。

QRコード読み取り時には、必ずURLを確認してからアクセスしましょう。
一見正規のURLに見えても、微妙に文字が変えられている場合があります。また、短縮URLが表示される場合は、悪意あるリンクが隠されている可能性が高いため、特に警戒が必要です。
正しいURLであっても、QRコードから遷移したページでは、ログイン情報や個人情報の入力は避けることを推奨します。

なお、QRコードを作成・配布する事業者側も、短縮URLの使用には注意が必要です。
無料の短縮URLサービスには、広告ページを経由するものや、予告なくサービス終了するものもあり、利用者が意図しない被害を受けるリスクがあります。
事業者は正規の長いURLを使用するか、信頼性の高い短縮サービスを選択することが望まれます。

安全なQRコードリーダーを使用する

無料で便利なQRコードリーダーアプリが多数提供されていますが、中には悪意あるアプリも存在します。

2021年には、Google Playで1,000万回以上ダウンロードされていたバーコードアプリ「Barcode Scanner」にマルウェアが仕込まれる事件が発生しました。問題発覚後にアプリはストアから削除されましたが、すでにインストールしたユーザーは自身で対処する必要がありました。

このように、過去に安全だったアプリでも後から悪意あるコードが追加される可能性があります。
そのため、スマートフォンに標準搭載されているカメラアプリやQRコードスキャン機能を利用するのが最も安全です。

（出典：Malwarebytes Labs　Barcode Scanner app on Google Play infects 10 million users with one update）

ウイルス対策ソフトの導入と最新化

QRコード経由でマルウェアに感染した場合に備え、ウイルス対策ソフトの導入は不可欠です。
万が一マルウェアがダウンロードされても、リアルタイム検知機能で実行を阻止できる可能性があります。
また、OSやアプリケーションは常に最新のセキュリティパッチを適用し、脆弱性を悪用される隙を与えないようにしましょう。

多要素認証の導入

クイッシングでログイン情報が漏洩しても、多要素認証（MFA）を設定しておけば、不正アクセスを防げる可能性が高まります。
パスワードに加えて、スマートフォンへの認証コード送信や生体認証を組み合わせることで、セキュリティを強化できます。

従業員へのセキュリティ教育

フィッシング攻撃の手口は日々進化しており、クイッシングも例外ではありません。
従業員に対して最新の攻撃手法や見分け方を定期的に教育することで、組織全体のセキュリティリテラシーを向上させましょう。
また、実際の攻撃を想定した訓練を行うことで、万が一の際にも冷静に対処できる体制を整えることができます。

ALSOKがおすすめするサービス

ALSOKでは、クイッシングをはじめとする巧妙化するフィッシング攻撃への対処訓練として以下のサービスを提供しています。

ALSOK 標的型攻撃メール訓練

クイッシングは、QRコードが画像として扱われるため、セキュリティ製品による検知が難しいという課題があります。
しかし、こうした攻撃の存在を事前に知っていれば、従業員自身が警戒し、適切な対応をとることができます。

ALSOKの「標的型攻撃メール訓練」では、実際のフィッシングメールを模した訓練を実施し、従業員一人ひとりが疑似体験を通じてリテラシーを向上できます。訓練により、情報漏えいなどのリスクを未然に防ぐことが可能です。

さらに、訓練後は結果に基づいて各従業員に最適なeラーニングを提供します。
訓練で終わらせず、知識の定着までサポートするため、組織全体のサイバーセキュリティ意識を継続的に高めることができます。

クイッシングに関するQ&A

まとめ

※「QRコード」は、株式会社デンソーウェーブの登録商標です。