- クイッシングとは、QRコードを悪用して偽サイトへ誘導し、個人情報や決済情報を盗むフィッシング詐欺のことだ。
- QRコードは画像として扱われるため、URLの文字列を検査する従来のメールフィルタでは中身を見抜きにくいのが厄介なところだ。
- 怪しいリンクは踏まないという今までの心構えだけでは足りず、読み取る前に発信元を疑う習慣が問われるようになった。
この4コマは、クレジットカード会社を装う通知メールから始まる典型的なクイッシングの被害導線を描いています。コマ①のように、正規の警告メールらしい体裁とQRコードを組み合わせられると、受信者は疑う前に読み取ってしまいがちです。フィッシング対策協議会も2024年8月28日に、大手カード会社を装うQRコード付きメールの緊急情報を公開しています。
コマ②から③への転落が示すのは、被害が発生する瞬間がスキャンした時点ではなく、遷移先で情報を入力した瞬間だという点です。偽サイトはVpassIDやパスワード、カード有効期限、セキュリティコードまで一気に詐取しようとします。QRコードが画像であるがゆえに、URL文字列を検査する従来のメールフィルタをすり抜けやすいことが、この手口の脅威を支えています。
コマ④の助言は実務上きわめて有効です。メール本文のQRやリンクからログインするのではなく、日頃使っている公式アプリやブラウザーのブックマークから正規サイトへアクセスするだけで、偽の入口を回避できます。入口を自分で選ぶ習慣こそが、クイッシングへの最も現実的な防波堤になると言えるでしょう。
なぜクイッシングは従来のメール対策をすり抜けるのか?
クイッシングが厄介な理由は、大きく3つの要素に分解すると見えてきます。1つ目は、いま触れたとおりQRコードが画像である点です。文字列としてのURLが存在しないため、既存のメールセキュリティは危険なリンクとして検知できません。2つ目は、読み取りの舞台がパソコンではなくスマートフォンへ移ることです。個人の端末は会社のゲートウェイほど守られておらず、小さな画面では偽ドメインにも気づきにくくなります。3つ目は、人の心理を突く緊急性です。フォーティネットは手口を大きく4種類(偽サイト誘導、マルウェア感染、不正な取引への誘導、メールへの添付)に整理しており、いずれも不安をあおって冷静な確認を奪う点で共通しています。
被害額の面でも軽視はできません。フォーティネットが紹介するシンガポールの事例では、飲食店の窓に貼られた偽アンケートのQRコードから、女性が約230万円相当の預金を失ったと報告されています。ここで効くのが多要素認証の導入です。仮にIDやパスワードを抜かれても、追加の本人確認があれば不正ログインの成立を防ぎやすくなります。技術的な防御と、読み取る前に発信元を疑う人的な習慣。この両輪が揃ってはじめて、画像という盲点を突く攻撃に対抗できるのではないでしょうか。
クイッシングのよくある誤解
読み取っただけで即アウトだという思い込み
QRコードを読み取る行為そのものは、多くの場合カメラがリンク先のURLを表示するだけで、その瞬間に情報が盗まれるわけではありません。実際に被害が生じるのは、表示された偽サイトでカード番号やパスワードを入力したり、案内されたアプリをインストールしたりした後です。逆に言えば、読み取り後に表示されたURLを一呼吸おいて確認する余地は残されています。
紙に印刷されたQRなら信用できるという誤解
印刷物のQRコードにも落とし穴があります。正規の掲示物やチラシの上に偽のシールを重ね貼りされていれば、見た目は本物でも読み取った先は攻撃者のサイトです。街中に置かれているから、自治体や店舗が用意したものだから安全、という判断は必ずしも成り立ちません。
スマホのカメラが警告してくれるから大丈夫?
端末の標準カメラや一部のリーダーアプリには不審なURLを注意喚起する機能もありますが、短縮URLや巧妙に似せたドメインを常に見抜けるわけではありません。表示された文字列を人の目で最後まで確認し、少しでも違和感があれば開かない姿勢が求められます。
会話での使われ方

先日ご相談のあったQR決済の導線ですが、クイッシング対策として遷移先ドメインの常時掲示を提案させてください。読み取る前に正規URLが見えるだけで、利用者の安心感がかなり変わります。
QR決済の導入を検討するクライアント企業に対し、ベンダーの担当者が商談の場で具体的な対策を提案している場面です。




そのカード会社のメール、本文のQRからじゃなくて公式アプリから残高を見てね、クイッシングかも。
経理チームのSlackで、届いたメールを開こうとした新人へ先輩がひとこと注意を送った場面です。




この前さ、駐車場のQRを読んだら変な入力画面が出てきて焦ったよ。あれクイッシングだったのかも、素直に精算機のボタンを使えばよかった。
同僚どうしのランチ休憩で、ヒヤリとした体験を雑談として共有している場面です。
クイッシングの歴史
クイッシングの歴史をたどると、便利な発明が約30年を経て攻撃に転用されていく流れが見えてきます。QRコードそのものの登場と、フィッシングへ悪用され始めた近年の動きを並べて振り返ります。
| 年 | 出来事 |
|---|---|
| 1994年 | デンソーウェーブの原昌宏氏らがQRコードを開発。高速な読み取りを実現し、後に世界中へ普及した。 |
| 2024年8月 | フィッシング対策協議会が、大手カード会社を装うQRコード付きメールの緊急情報を公開し注意を喚起した。 |
| 現在 | フォーティネットやトレンドマイクロなど大手セキュリティベンダーが、クイッシングの手口と対策の解説を継続的に発信している。 |
クイッシングとフィッシングの違い
クイッシングはフィッシングの一種ですが、攻撃の入口がQRコードに特化している点で語られ方が異なります。混同されやすい両者を、入口や検査回避の仕組みで整理します。
| 比較観点 | クイッシング | フィッシング |
|---|---|---|
| 攻撃の入口 | QRコード(画像)を読み取らせる | メール文中のリンクや偽サイトのURLを踏ませる |
| 検査回避の仕組み | 画像のためURL検査をすり抜けやすい | URL文字列として検知・遮断されやすい |
| 主な発生場面 | メール添付・ポスター・精算機・チラシなど | なりすましメールや偽ログイン画面が中心 |
【まとめ】クイッシングの3つのポイント
- 正体はQRコードという入口を突いた詐欺:偽サイト誘導や決済情報の詐取を、画像という盲点から仕掛けてくる手口です。
- 公式アプリとブックマークで入口を選ぶ:メールのQRから開かず、日頃使う正規ルートで確認するだけで多くを回避できます。
- 多要素認証で被害の連鎖を止める:万一情報を抜かれても、追加認証があれば不正ログインの成立を防ぎやすくなります。
よくある質問
-
QQRコードを読み取っただけで被害に遭うことはありますか?
-
A
読み取った直後に情報を入力しなければ、多くのケースで即座に被害へ直結することはありません。危険なのは、表示された偽サイトでカード番号やパスワードを入力したり、案内されたアプリを入れたりした後です。読み取り後に表示されるURLを確認する一呼吸が防御線になります。
-
Q駐車場やポスターのQRコードは安全ですか?
-
A
街頭に掲示された正規のQRコードでも、偽シールが上貼りされていれば安全とは言い切れません。正規の掲示物へ偽物を重ね貼りする物理的な手口が報告されているためです。精算機や公式サイトなど、QR以外の正規ルートを併用すると安心につながります。
-
Qメールに添付されたQRコードはなぜ危険なのですか?
-
A
画像として送られるQRコードは、URLの文字列を検査するメールフィルタをすり抜けやすいからです。危険なリンクとして判定されないまま受信箱へ届き、読み取りの場も守りの薄いスマートフォンへ移ります。フィッシング対策協議会も2024年8月に、この手口の緊急情報を公開しています。
-
Qクイッシングとフィッシングとの違いは何ですか?
-
A
両者の違いは、攻撃の入口がQRコードか、それ以外のリンクかという経路の差にあります。クイッシングはQRコードという画像を読み取らせることでURL検査をすり抜ける一方、一般的なフィッシングはメール文中のリンクや偽サイトのURLへ直接誘導します。クイッシングはフィッシングの一種であり、対立概念ではありません。
クイッシングと一緒に知っておきたい用語
| 用語 | この記事との関連 |
|---|---|
| フィッシング | クイッシングの親概念。QRコードを入口にした一種として位置づけられる。 |
| スプーフィング | 差出人を偽装する手口。クイッシングの偽メールでしばしば併用される。 |
| パスキー | フィッシング耐性の高い認証。情報を抜かれても不正ログインを防ぎやすい。 |
| スパムメール | QRコード付きの詐欺メールが大量に配信される経路になりやすい。 |
| スミッシング | SMSを入口にしたフィッシング。経路が異なる姉妹的な手口。 |
【出典】参考URL
https://www.antiphishing.jp/news/alert/qr_20240828.html :フィッシング対策協議会の緊急情報。2024年8月28日公開、大手カード会社を装うQRコード付きメールの実例と、公式アプリ・ブックマークからのアクセスを推奨する対策の根拠。
https://www.fortinet.com/jp/resources/cyberglossary/qr-code-fraud :フォーティネット公式。手口の4分類、多要素認証・従業員教育などの対策、シンガポールで約230万円相当の被害が出た事例の根拠。
https://www.trendmicro.com/ja_jp/what-is/phishing/quishing.html :トレンドマイクロ公式。クイッシングの用語定義の裏付け。
https://www.denso-wave.com/ja/technology/vol1.html :デンソーウェーブ公式。QRコードが1994年に原昌宏氏らによって開発されたという年表の根拠。

コメント