QRコード詐欺「クイッシング」の基礎解説 サイバー攻撃者が仕掛ける3つのワナ

QRコードはスマートフォンで手軽に読み取ることができ、企業のWebサイトなどへの誘導のために広く使われている。だが、QRコードには危険性がある。

[畑陽一郎，キーマンズネット]

　企業はクーポンの提供や製品キャンペーンへの誘導など、顧客を効率的に自社サービスへと誘導するための手段としてQRコードを活用し、ビジネスを拡大している。だがQRコードには危険性もある。

　Check Point Software Technologiesのシラ・ランダウ氏（コンテンツマーケティングマネジャー）によれば、サイバー犯罪者がQRコードを利用しているという。犯罪者はQRコードとフィッシングを結び付け「クイッシング」（quishing）と呼ばれる手口を開発した。

　同社によれば2021〜2024年の3年間でQRコードを悪用した攻撃は900％も増加した。これは他のサイバー攻撃の増加率を大幅に上回るという。

なぜサイバー犯罪者はQRコードを好んで狙うのか

　2025年時点でフィッシングメールの10％以上にQRコードが含まれている。なぜ、サイバー犯罪者はQRコードを好むのだろうか。

　それは幾つかのセキュリティソリューションを回避できるからだ。防御側は悪意のあるURLであれば検出できる。だが、QRコードはただの白黒の画像だ。QRコードに対応しているソリューションでなければ悪意があるものなのかどうか分析できない。そのようなソリューションはまだ広く使われていない。

　犯罪者がQRコードベースのフィッシングを好む理由はもう一つある。フィッシングメールにURLが直接書かれていれば、目で見て確認できる。だが、QRコードであればURLに変換されるまで、安全なものなのかどうかを確認できない。つまり、マルウェアのダウンロードを被害者に強制したり、認証情報を入力させたりしやすくなる。

QRコードを利用し、ユーザーをだます3つの手口

　QRコードを利用したサイバー犯罪の手口は3つある。

（1）戦略的な難読化
　攻撃者はQRコードを利用して悪意のあるリンクを隠蔽（いんぺい）できる。銀行などの正規のサービスプロバイダーから送信されたように見えるフィッシングメールに悪意のあるQRコードを添付することが多い。

（2）物理的、デジタル的な置換
　正規のQRコードを偽のコードに物理的に置き換える方法だ。攻撃者は駐車料金の支払いステーションや小売店のディスプレイ、公共の充電ステーション、製品紹介のポスターなどに偽のQRコードのステッカーを手で貼り付ける。被害者が偽のQRコードをスキャンすると、悪意のあるダウンロードが始まったり、機密情報が盗まれるWebサイトに誘導されたりしてしまう。

（3）ソーシャルエンジニアリングの利用
　サイバー犯罪者が予期せぬ郵便物や荷物を潜在的な被害者に送る手口だ。荷物や同封物に悪意のあるQRコードを付けておく。被害者が荷物などの詳細を確認しようとしてQRコードを読み取ると、認証情報や個人情報を取得するWebサイトに誘導されてしまう。

QRコードフィッシングの実例は？

　QRコードフィッシングは理論上のものではなく、さまざまな被害が生じている。ここでは被害事例を3つ紹介しよう。

事例1　チラシのQRコードが偽物だった
　2023年に福岡市内で投函された「焼き肉弁当100円」というチラシには「ご注文はこちら」とQRコードの脇に書かれていた。QRコードを読み取り、注文のためにクレジットカード情報を入力したが、弁当は届かない。

　これは典型的な事例だ。100円という価格でユーザーを油断させ、支払いが必要なシチュエーションを作り出して、被害者をだます。個人情報を入力させることもたやすいだろう。

事例2　短縮URLサービスと結び付ける
　2023年にオートバックスセブンの広告や学習院大学が利用したQRコードに異常が見つかった。

　どちらの事例でも広告などは正規のものであり、QRコード自体にも手が加えられていなかった。それにもかかわらず不正なリンク先に転送された。異常の原因ははっきりしないものの、QRコードから読み取った短縮URLが不正なものに後から変更されたという可能性が指摘されている。

事例3　QRコード自体を盗み出す
　決済用のQRコードを店舗などで表示させて決済をするまでの短い時間にQRコードを盗撮され、悪用される場合がある。具体的な場所や日付は報道されていないものの、QRコード自体を秘密の情報として扱わなければならない場合があることを忘れてはならない。

QRコード犯罪を防ぐには

　QRコードを使ったフィッシング攻撃の対策は基本的にはフィッシング攻撃の対策と変わらない。ただし、フィッシング攻撃なのかどうかが、より分かりにくく、気が付きにくくなっている。これが危ない。

　企業側ができることは幾つかある。まずは従業員が被害に遭わないようにすることだ。不明確なソースや予期せぬソースに添付されているQRコードのスキャンを禁止するポリシーを導入する。さらに公式なルートで配信されたメールであっても、添付されたQRコードの正当性を確認するようスタッフを教育する。

　次にQRコードを悪用した攻撃シナリオを含む定期的な予行演習を実施する。

　QRコードを使った攻撃を特定して、無効化できるソリューションの導入を検討することも良いだろう。

　企業が「加害者」にならないための方策もある。QRコードを使用した取引は避け、代わりに従来の方法を使い続けることだ。

QRコード読み取りソフトにもご用心

　本文で紹介したのは悪意のあるQRコードを利用したサイバー犯罪だ。だが、QRコードを読み取るアプリケーションに問題があった事例もある。

　「Google Play」にはAndroid用QRコードリーダー「Barcode Scanner」が登録されており、1000万回以上ダウンロードされていた。ところが、202年12月にアプリケーションがアップデートされた時点で、悪意のあるコードが混入し、ユーザーのデバイスにマルウェアを配信する事件が起きた。GoogleはBarcode Scannerを2021年2月に削除した。

　この事件ではQRコードの読み取り自体は正常だったが、読み取ったQRコードが示すURLをリダイレクトしたり、情報を収集したりするタイプの攻撃も考えられるだろう。