QRコードを悪用した「クイッシング」攻撃拡大、スマホ時代の新たな認証情報リスク

背景

スマートフォンやタブレットの普及によって、QRコードを利用したサービスが急増する中、これを悪用した「クイッシング（Quishing）」攻撃が国内外で深刻化しています。クイッシングとは、QRコード（QR Code）とフィッシング（Phishing）を組み合わせた造語で、偽のQRコードを通じてユーザーを不正サイトへ誘導する攻撃手法です。QRコードは認証や決済、業務連絡など幅広い場面で活用されていますが、攻撃者はメールやSNS、オフィスの掲示物などに偽QRコードを仕込み、従来のメールセキュリティフィルタや物理的な運用の隙を突いてフィッシングサイトへ誘導する手口を巧妙化させています。特にスマートフォンを使って業務を行う割合が高まる中、企業の境界を越えて情報漏えいが起こるリスクが増加しています。

実態

クイッシング攻撃では、攻撃者が本物そっくりのQRコードをメールやチャット、印刷物に仕込み、ユーザーを偽のログインページや認証画面へ誘導します。特に、メール本文内のURL検査を回避するため、テキストリンクではなく画像としてQRコードを埋め込む手法が増加しており、従来のメールセキュリティソリューションでは検知が困難なケースがあります。また、オフィスビルや公共施設の案内ポスター、駐車場の料金表示などに貼り替えられた物理的なQRコードから攻撃サイトへ誘導される事例も報告されています。スマートフォンでQRコードを読み取ったユーザーは、URLの内容を詳細に確認することなく、正規のサービスと誤認して認証情報を入力しやすい傾向があります。さらに、短縮URLサービスやリダイレクトサービスの併用により、最終的なリンク先の真偽判別がより困難になっています。最近では、QRコードを動的に生成し、個別に異なるフィッシングサイトへの誘導を行う高度な手口も観測されており、同じ攻撃キャンペーンでも被害者ごとに異なるURLが生成されるため、ブラックリスト方式での防御が効きにくくなっています。

影響と対策

クイッシングにより窃取された認証情報は、Microsoft 365、Google Workspace、VPN、業務アプリケーションなど幅広いシステムへの不正アクセスに悪用されます。特にスマートフォンから入力された認証情報は、企業のネットワーク境界外で窃取されるため、従来の境界防御では検知が困難です。対策としては、まずQRコード経由でもフィッシングが成立するリスクを従業員へ周知し、「必ず公式アプリやブラウザのブックマークからアクセスする」という運用の徹底が不可欠です。技術的対策としては、OCR（光学文字認識）機能を備えた最新のメールセキュリティソリューション（FortiMail、Check Point Harmony Email & Collaboration等）を導入することで、画像内のQRコードやURLを解析し、不審なサイトへのアクセスを事前にブロックすることが有効です。加えて、多要素認証（MFA）の徹底、BYOD（私物端末の業務利用）ポリシーの見直し、QRコード利用時の本人確認プロセス強化、定期的なセキュリティ教育の実施も推奨されます。また、物理的なQRコードについては、定期的な点検と改ざん検知の仕組み作りが重要です。

まとめ

QRコードは利便性と引き換えに新たなセキュリティリスクを生み出しています。見た目だけでは真偽が判別できないため、技術的なフィルタリングと組織的な教育・運用ルールの多層防御が不可欠です。特にモバイルデバイスの利用が増加する現代において、境界を越えた脅威への対応が求められています。PSI社では、ネットワーク製品とメールセキュリティソリューション、そして教育サポートを組み合わせることで、クイッシングを含む最新のフィッシング脅威対策を総合的にご支援いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp