QR コードフィッシングの脅威 - 読み取る前に確認すべきこと

この記事は約 13 分で読めます

QR コードは今や日常のあらゆる場面で使われています。レストランのメニュー、イベントのチケット、決済、Wi-Fi 接続。スマートフォンのカメラをかざすだけでアクセスできる手軽さが魅力ですが、その手軽さを悪用した新しい攻撃手法が急増しています。「クイッシング」(Quishing) と呼ばれる QR コードフィッシングは、偽の QR コードを通じてユーザーを悪意あるサイトに誘導し、認証情報や個人情報を窃取する手口です。この記事では、クイッシングの具体的な手口、偽 QR コードが設置される場所、そして安全に QR コードを読み取るための確認手順を解説します。

クイッシングの手口と仕組み

正規の QR コードを上書きする手口

クイッシングで最も多い手口は、正規の QR コードの上にシールやステッカーで偽の QR コードを貼り付ける方法です。駐車場の料金精算機、レストランのテーブル、公共施設の案内板など、人々が疑いなくスキャンする場所が狙われます。攻撃者は本物そっくりのステッカーを作成し、元の QR コードの上に貼るだけで攻撃が成立します。物理的な改ざんであるため、デジタルセキュリティツールでは検知が困難です。

被害者が偽の QR コードをスキャンすると、本物のサービスに酷似したフィッシングサイトに誘導されます。そこでログイン情報やクレジットカード番号を入力してしまうと、攻撃者の手に渡ります。従来のフィッシングメールと異なり、QR コードは URL が目視で確認しにくいため、ユーザーが不審に気づきにくいのが特徴です。

メールや文書に埋め込む手口

もう一つの主要な手口は、フィッシングメールや印刷物に QR コードを埋め込む方法です。「セキュリティ更新のため、以下の QR コードをスキャンしてください」「荷物の配達状況を確認するにはこちらをスキャン」といった文面で、ユーザーにスキャンを促します。メールセキュリティフィルターは URL リンクを検査できますが、画像として埋め込まれた QR コード内の URL は検知できないことが多く、攻撃者にとって有利な手法です。

偽 QR コードが設置される場所

公共空間での設置事例

攻撃者は人通りの多い場所を好んで狙います。駐車場の精算機は特に被害が多く、利用者が急いでいるため確認を怠りがちです。また、レストランやカフェのテーブルに貼られたメニュー用 QR コードも標的になります。コロナ禍以降、非接触メニューが普及したことで、QR コードをスキャンすることへの心理的抵抗が薄れ、攻撃の成功率が上がっています。

公共交通機関の時刻表、観光案内板、シェアサイクルのステーション、EV 充電スポットなども狙われています。これらの場所では、利用者がサービスを利用するために QR コードのスキャンが「必要」だと思い込んでいるため、偽物であっても疑問を持ちにくい状況が生まれます。攻撃者はこの信頼関係を巧みに悪用しているのです。

デジタル空間での配布

物理的な場所だけでなく、SNS の投稿、メッセージアプリ、オンライン広告にも偽 QR コードが出回っています。「限定クーポン」「抽選に当選しました」「アカウントの本人確認が必要です」といった文言とともに QR コードが送られてきます。特に SNS では、信頼できる友人のアカウントが乗っ取られて偽 QR コードが拡散されるケースもあり、ソーシャルエンジニアリングと組み合わせた高度な攻撃が増えています。

安全な QR コードの読み取り方

スキャン前の物理的な確認

QR コードをスキャンする前に、まず物理的な状態を確認しましょう。ステッカーが上から貼られていないか、端がめくれていないか、周囲の素材と質感が異なっていないかをチェックします。正規の QR コードは通常、看板やポスターに直接印刷されています。上から貼り付けられたシールは改ざんの可能性が高いため、スキャンを避けるべきです。

不審に感じた場合は、店員やスタッフに確認するのが最も確実です。「この QR コードは正規のものですか？」と一言聞くだけで、被害を防げる可能性があります。特に決済に関わる QR コードは、公式アプリから直接アクセスする方が安全です。

URL プレビューの確認手順

ほとんどのスマートフォンのカメラアプリは、QR コードを読み取った際に URL のプレビューを表示します。この機能を活用し、リンク先を開く前に必ず URL を確認してください。正規のドメインかどうか、スペルミスがないか、不審なサブドメインが含まれていないかをチェックします。例えば「paypa1.com」(l ではなく数字の 1) や「amazon-security-verify.com」のような紛らわしいドメインは典型的な偽サイトです。

URL が短縮されている場合 (bit.ly や t.co など) は特に注意が必要です。短縮 URL は最終的なリンク先を隠すことができるため、攻撃者に悪用されやすい仕組みです。可能であれば、短縮 URL を展開するサービスを使って実際のリンク先を確認するか、そもそもスキャンを避けて公式サイトに直接アクセスしましょう。フィッシングの手口全般については、フィッシング対策の総合ガイドも参考にしてください。

組織と個人ができる防御策

個人が実践すべき習慣

QR コードフィッシングから身を守るために、いくつかの習慣を身につけましょう。まず、QR コードをスキャンした後にログイン情報や個人情報の入力を求められた場合は、一度立ち止まって考えてください。正規のサービスであれば、公式アプリやブックマークからアクセスし直すことで安全を確保できます。また、二要素認証を有効にしておけば、万が一パスワードが漏洩しても不正アクセスを防げます。

パスワードマネージャーの利用も効果的な対策です。パスワードマネージャーはドメインを厳密にチェックするため、フィッシングサイトでは自動入力が動作しません。自動入力が機能しないことに気づいたら、それは偽サイトである可能性を示す重要なシグナルです。スマートフォンのセキュリティ全般については、<AmazonLink keyword="スマホ セキュリティ" locale={locale} className="amazon-inline-link">スマートフォンセキュリティの関連書籍 (Amazon)</AmazonLink>も参考になります。

組織としての対策

QR コードを業務で使用する組織は、定期的に自社の QR コードが改ざんされていないか巡回確認する体制を整えるべきです。また、QR コードの近くに正規の URL を併記することで、ユーザーが手動でアクセスする選択肢を提供できます。従業員向けには、クイッシングの手口を含むセキュリティ教育を実施し、不審な QR コードを報告する仕組みを用意しましょう。