セキュリティ

QRコード詐欺(クイッシング)の手口と対策 ― 中小企業が知っておくべき新たな脅威

#フィッシング#QRコード#クイッシング#セキュリティ#中小企業
📘
完全ガイドの一部です中小企業向けサイバーセキュリティ対策 完全ガイド

「QRコードをスキャンしてください」。オフィスの複合機、会議室の予約、Wi-Fi接続、社内ポータルへのアクセス。日常業務でQRコードを使う場面が増えています。

この身近さを悪用するのが「クイッシング(Quishing)」です。QR + Phishingを組み合わせた造語で、QRコードを使ったフィッシング詐欺を指します。2025年には前年比で約400%増加し、メールセキュリティ製品をすり抜ける新たな脅威として注目されています。

クイッシングとは

クイッシングは、悪意のあるURLを埋め込んだQRコードを使って、ユーザーをフィッシングサイトに誘導する攻撃手法です。

従来のフィッシングとの違い

項目従来のフィッシングクイッシング
誘導方法テキストリンクQRコード(画像)
メールフィルター検知しやすい検知しにくい(URLが画像内)
操作デバイスPCスマートフォン
セキュリティソフトPC上で動作スマホには未導入のケースが多い
検知の難しさ高い

最大の脅威は「メールフィルターをすり抜ける」点です。 メールセキュリティ製品の多くはテキスト内のURLを解析してフィッシングを検知しますが、QRコードは画像であるため、URLの解析が行われません。

さらに、QRコードをスキャンする端末はスマートフォンであることが多く、社用PCにインストールされているセキュリティソフトの保護が及びません。

攻撃の手口

パターン1:メール添付型

最も一般的な手口です。社内システムやクラウドサービスを装ったメールにQRコードを添付します。

よくある件名の例:

  • 「Microsoft 365:認証の期限が切れました。QRコードをスキャンして更新してください」
  • 「給与明細を確認するにはQRコードをスキャン」
  • 「社内Wi-Fiの新しい接続設定(QRコード)」
  • 「会議室予約システムの更新。新しいアクセス方法を設定してください」

パターン2:物理設置型

オフィスや公共の場にQRコードを物理的に設置する手口です。

  • 複合機やプリンターに「ドライバー更新」として貼り付ける
  • 会議室に「Wi-Fi接続用」として掲示する
  • 駐車場の精算機に重ねて貼る
  • 正規のQRコードの上に悪意のあるQRコードを重ね貼りする

パターン3:PDF添付型

メールにPDFファイルを添付し、PDF内にQRコードを埋め込む手口です。メールフィルターはPDF内の画像解析まで行わないケースが多く、検知がさらに難しくなります。

パターン4:リダイレクトチェーン型

QRコードのリンク先を、正規のURLリダイレクトサービス(Google, Microsoft等)を経由させて、最終的にフィッシングサイトに誘導する手口です。中間URLが正規のドメインであるため、URLの確認だけでは見抜けません。

実際の被害事例

事例1:大手製造業のM365アカウント侵害

全社員に「Microsoft 365の認証更新」を装ったメールが送付され、QRコードをスキャンした社員約50名のM365認証情報が窃取された。攻撃者は窃取した認証情報を使って社内メールを閲覧し、取引先情報を含む機密データが流出した。

事例2:会計事務所の顧問先情報漏洩

「電子契約サービスの書類確認」を装ったQRコード付きメールにより、会計士3名のクラウドストレージアカウントが侵害された。顧問先の財務情報や確定申告データが流出し、損害賠償に発展した。

事例3:オフィス複合機に偽QRコード

オフィスの複合機に「新しいスキャン先の設定」として偽のQRコードが貼り付けられた。スキャンした社員のスマートフォンにマルウェアがインストールされ、社内ネットワークへの侵入経路として悪用された。

対策

技術的対策

1. メールセキュリティの強化

最新のメールセキュリティ製品は、添付画像やPDF内のQRコードを解析する機能を持つものがあります。

  • Microsoft Defender for Office 365: QRコード検知機能が2025年後半に追加
  • Google Workspace: メール内のQRコード検知機能を提供
  • サードパーティ製品: Proofpoint, Mimecastなどが対応

現在使用しているメールセキュリティ製品のQRコード検知対応状況を確認してください。

2. モバイルデバイスの保護

QRコードのスキャンはスマートフォンで行われるため、モバイルデバイスの保護が重要です。

  • **MDM / MTD(Mobile Threat Defense)**の導入
  • URLフィルタリングが有効なブラウザの使用を義務化
  • 業務用スマートフォンにはEDRを導入

3. 条件付きアクセスの設定

Microsoft 365やGoogle Workspaceで、信頼されたデバイス・ネットワークからのみアクセスを許可する条件付きアクセスを設定します。QRコードで認証情報が窃取されても、未登録デバイスからのアクセスをブロックできます。

4. FIDO2/パスキーの導入

パスキーに対応した認証を導入することで、フィッシングサイトに認証情報を入力してしまうリスクを根本的に排除できます。パスキーはドメインに紐づいた認証であるため、偽サイトでは認証が成功しません。

運用面の対策

1. 社内QRコードの管理ルール

  • 社内で使用するQRコードは台帳で管理する
  • QRコードを掲示する場合は、改ざん防止の措置を取る(透明シールで封印等)
  • 定期的にQRコードのリンク先を確認する

2. メール内QRコードのポリシー

  • 「正規の社内メールではQRコードを使用しない」というルールを設定する
  • IT部門からの連絡にQRコードが含まれる場合は、別の連絡手段で確認する

従業員教育

1. QRコードの危険性を周知

  • QRコードは「見えないURL」であり、テキストリンクと同じリスクがある
  • スキャン前にQRコードの出所を確認する習慣をつける
  • メールで届いたQRコードは原則スキャンしない

2. スキャン後の確認手順

  • QRコードをスキャンしたら、開く前にURLを確認する
  • URLが正規のドメインか、HTTPSか、短縮URLでないかを確認
  • 認証情報の入力を求められたら、一度立ち止まる

3. 「スキャンしてしまったら」の対応

  1. すぐにIT管理者に報告する
  2. 認証情報を入力した場合は即座にパスワードを変更する
  3. アプリをインストールした場合は、デバイスをネットワークから切断する

クイッシング訓練の実施

フィッシングメール訓練にQRコード型を追加することを推奨します。

訓練の手順:

  1. QRコード付きの訓練メールを送信する
  2. QRコードをスキャンした社員を記録する
  3. 教育コンテンツを表示して注意喚起する
  4. 部署別のスキャン率を分析する
  5. 結果をもとに追加教育を実施する

まとめ

クイッシングは「メールフィルターをすり抜け」「スマートフォンのセキュリティの隙を突く」新しいフィッシング手法です。QRコードが日常的に使われるようになった今、この脅威を無視することはできません。

最も重要な対策は「メール内のQRコードは原則スキャンしない」というシンプルなルールの徹底です。技術的な対策と従業員教育を組み合わせて、クイッシングから組織を守りましょう。

フィッシング対策やセキュリティ教育でお困りの方は、情シス365の無料相談をご利用ください。

🛡️Security365 — セキュリティ運用

脅威監視・アラート対応・ポリシー策定まで、月額定額でプロが支援。セキュリティ対策を「自分ごと」から「チーム体制」へ。

サービス詳細を見る → 60分無料相談

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談