QRコード詐欺（クイッシング）とは？標的と対策

QRコード詐欺（クイッシング）は、急速に進化しているサイバー脅威であり、攻撃者はQRコードの利便性を悪用して、ユーザーを騙し、セキュリティを侵害させます。一見無害に見えるQRコードに悪意のあるリンクを埋め込むことで、攻撃者は従来のメールフィルタを回避し、被害者を不正なウェブサイトやマルウェアダウンロードに誘導します。このソーシャル エンジニアリングの手口は、ビジネスシーンにおけるQRコードの普及に乗じるものであり、企業や組織は業務用・個人用の両方のデバイスを通じて脆弱性のリスクにさらされます。

QRコード詐欺（クイッシング）とは、サイバー犯罪者がQRコードを悪用して、被害者を不正なウェブサイトに誘導したり、マルウェアをダウンロードさせたりするソーシャル エンジニアリング攻撃です。従来のフィッシングとは異なり、テキストベースのリンクに依存するのではなく、QRコード詐欺はQRコードを使用してメールセキュリティフィルタを回避し、広く採用されているこの技術に対するユーザーの信頼を悪用します。

QRコードは、最大7,089個の数字文字またはURLを格納できる機械で読み取り可能なマトリックスであり、スマートフォンのカメラまたはスキャンアプリからアクセスできます。その設計にはエラー訂正機能が含まれており、部分的に損傷した場合でも機能します。正当な用途は、非接触型決済からマーケティング キャンペーンまで多岐にわたりますが、その不透明性（ユーザーは埋め込まれたURLをプレビューできないこと）により、悪用に理想的です。

QRコード詐欺は、体系的なプロセスで実行されます。攻撃者は体系的なアプローチに従います。

1. 悪意のあるQRコードの作成: 無料のオンラインツールを使用して、フィッシングサイトまたはマルウェアをホストするドメインにリンクされたQRコードを生成します。
2. 配布: コードは、フィッシングメール、偽の請求書、公共のポスター、レストランのメニューに埋め込まれたり、正規のQRコードに重ねられたりします。
3. ソーシャル エンジニアリングによる誘い込み: メッセージは、「割引を入手するためにスキャンしてください」または「アカウントを確認してください」などの即時行動を促します。
4. 悪用: スキャンすると、偽のログインページ、認証情報収集ツール、またはマルウェアのダウンロードに誘導されます。たとえば、2023年の攻撃では、企業の請求書を模倣し、従業員を偽の支払いポータルに誘導しました。

物理的な攻撃ベクトルとデジタルな攻撃ベクトルを組み合わせることで、QRコード詐欺は組織と個人の両方にとって多面的な脅威となります。

QRコード詐欺は、物理的な空間とデジタル空間の交差点で活発化し、人間の好奇心と組織のワークフローの両方を悪用します。サイバー犯罪者は、成功率を最大化するために、人通りの多い場所や信頼性の高い環境に悪意のあるQRコードを戦略的に配置します。主な標的は、以下の通りです。

• 公共の場所: レストランのメニュー、パーキングメーター、小売店のポスター、イベントのチラシなどに改ざんされたQRコードが仕掛けられます。多くの場合、割引や無料Wi-Fiアクセス、限定コンテンツの提供などを謳い文句にしています。
• フィッシングメール/SMS: 攻撃者は、銀行、政府機関、または企業のベンダーになりすまし、偽の請求書、「アカウント認証」アラート、または配送通知にQRコードを埋め込みます。
• 製品ラベル: 攻撃者は、製品パッケージ上の正規のQRコードを、不正のウェブサイトまたはマルウェアのダウンロードリンクに置き換えます。
• 共有ドキュメント: 社内で共有されるPDFやスプレッドシートに、アンケートや研修資料を装ったQRコードが隠されているケースです。
• 標的となる業界: エネルギー、製造、保険、金融サービスなど、複雑なサプライチェーンを持ち、高額な取引を扱うセクターが主な標的です。

例えば2024年には、レストランチェーンを標的とした攻撃で、印刷されたメニューの上に不正なQRコードを重ね貼りする手口が使われました。これにより食事客は、ポイントプログラムを装った認証情報窃盗ページへと誘導されてしまいました。

QRコード詐欺は、人々のQRコードへの信頼を悪用しますが、組織はユーザー教育、技術的な保護策、および積極的なポリシーを組み合わせることでリスクを軽減できます。以下は、これらのハイブリッドな脅威から防御するための主要な戦略です。

ユーザーのベストプラクティス

• QRコードのソースを確認する: メール、テキスト、または公共の場所でコードをスキャンする前に、別のチャネル（電話など）を介して送信元の正当性を確認してください。
• 表示されるURLを検査する: 暗号化HTTPS、スペルミスのドメイン（例: 「arnazon.com」）、または疑わしい短縮リンクを確認してください。
• 機密データを共有しない: サイトの信頼性が確認されるまで、認証情報や支払い情報を絶対に入力しないでください。
• 安全なQRスキャナーアプリを使用する: 悪意のあるリンクをフラグ付けするウイルス対策統合アプリを選択してください。

組織のセキュリティ対策

• フィッシング シミュレーション: フィッシング攻撃のシミュレーションを定期的に実施して、従業員の応答率をテストし、認識のギャップを特定します。
• 多要素認証（MFA）: 重要なシステム全体でMFAを強制し、フィッシングサイトから盗まれた認証情報の影響を無効化します。
• メールセキュリティのアップグレード: 悪意のあるQRコードを含むなりすましメールをブロックするために、DMARC、SPF、およびDKIMプロトコルを展開します。
• エンドポイント保護: リアルタイムスキャンを備えたマルウェア対策ツールをインストールして、フィッシングリンクを介して配信されるペイロードを検出して隔離します。
• ゼロトラストアーキテクチャ: 検証済みのユーザーとデバイスへのネットワークアクセスを制限し、侵害が発生した場合のラテラルムーブメントを制限します。

ポリシー主導の保護策

• 最小特権アクセス: 侵害されたアカウントからの損害を最小限に抑えるために、従業員の権限を制限します。
• QRコードの使用に関するガイドライン: 企業コミュニケーションにおいて、信頼できないソースからのコードのスキャンを禁止します。
• 物理コードの改ざん防止: 公共の場所にあるQRコード（ポスター、製品ラベルなど）が上書きされていないかを定期的に確認します。

トレーニングにおける優先事項

• ソーシャル エンジニアリングの見分け方: 「アカウント停止を避けるにはQAコードをスキャンしてください」といった、緊急性を煽る手口をチームが見抜けるようにトレーニングします。
• 報告手順の確立: 従業員が不利益を被る心配をすることなく、不審なQRコードを報告できる明確な窓口を設けます。

これらの対策をサイバーセキュリティのフレームワークに組み込むことで、企業は業務の俊敏性を維持しつつ、クイッシング攻撃の成功率を下げることが可能になります。

テクノロジーは、クイッシング攻撃への対策において中心的な役割を果たします。高度な検知ツールと、組織としての一貫した対策を連携させることで、QRコードを悪用した脅威を無力化できます。

以下では、企業が導入できる主な防御策を、技術面と運用面に分けて紹介します。

セキュリティ ソリューション

• QRコード分析エンジン: 専用のメール セキュリティ ソリューションは、画像認識を使用してメールをスキャンし、QRコードを探し、埋め込まれたURLをデコードし、数十年にわたるフィッシングデータでトレーニングされた機械学習を使用してリスクを評価します。たとえば、CloudflareはQRコードをリアルタイムで処理し、デコードされたリンクをクロールし、脅威データベースと相互参照して、悪意のあるコンテンツをブロックします。
• インラインサンドボックス: プルーフポイントなどのプラットフォームは、添付ファイル（PDFなど）からQRコードを抽出し、隔離された環境でURLインタラクションをシミュレートして、配信前にマルウェアまたはクレデンシャル ハーベスターを検出します。Microsoftによると、この配信前スキャンにより、2024年には1日に約150万件のQRコード詐欺試行がブロックされました。
• AI搭載の脅威検出: Microsoft Defender for Office 365は、画像抽出を使用してメール内のQRコードを識別し、機械学習を介してURL構造を分析し、経験則に基づいて不審なリンクをブロックします。

「旧来のメールセキュリティプロバイダーや、ほとんどのAPIベースのメール セキュリティ ツールにとって、これらの攻撃を検知するのは非常に困難です。その理由は、これらのツールがスキャンするのはメールメッセージ内の既知の不審なリンクのみであり、不正なQRコード画像の中に隠されたリンクまではスキャンしないからです。」と、IBM エキスパート ラボ セールスのプリンシパルであるティム・ベダード氏は述べています。

組織的対策

• 安全なQRコードジェネレーター: 埋め込み可能な有効期限とドメイン許可リストを備えた、企業が承認したツールを使用して、コードが検証済みのURLのみにリンクするようにします。
• ネットワーク セグメンテーション: IoTデバイスとゲストネットワークを重要なシステムから隔離し、QRコード詐欺にリンクされたマルウェアによってトリガーされる侵害を封じ込めます。
• サードパーティ統合のためのAPIセキュリティ: QRコード駆動のワークフロー（ベンダーポータル、在庫システムなど）を監視して、認証情報の不正使用を示す異常なAPI呼び出しがないか確認します。
• QRコードのデジタル署名: 暗号化タグ（QR-Code 2.0標準など）を実装して、物理空間での信頼性を検証し、改ざんされたコードを検出します。
• UEBAによる脅威ハンティング: ユーザーおよびエンティティの行動分析を展開して、スキャン後の異常なアクティビティ（クラウドストレージからの突然のデータエクスポートなど）にフラグを立てます。

ベダード氏は、リーダーに対し、「侵害された可能性のあるベンダーやパートナーから送信されたメールから組織を防御してください。Proofpoint STP(Supplier Threat Protection) は、高度なAIと最新の脅威インテリジェンスを使用して、侵害されたサプライヤアカウントを検出し、調査する必要があるアカウントを優先順位付けします」と推奨しています。

トレーニング

ベダード氏は、「従業員と顧客は、最初の防御線です。あらゆる種類のフィッシング攻撃に関するセキュリティ意識向上トレーニングを受けていることを確認してください」と付け加えています。

• サイバーセキュリティ シミュレーション: プルーフポイントのフィッシング シミュレーション ツールは、適応型のQRコードフィッシング訓練を実施し、従業員の役職やスキルレベルに合わせてシナリオを自動で調整します。
• インタラクティブな学習: セキュリティ意識向上トレーニングのプラットフォームは、訓練に失敗した従業員をマイクロトレーニングへと誘導します。そこでは、URLの不一致や緊急性を煽る謳い文句といった、危険なQRコードを見分けるポイントが解説されます。
• 報告する文化の醸成:従業員が不審なQRコードを簡単に報告できる窓口を確立します。プルーフポイントは、AIによる文脈分析とユーザーからの報告とを統合し、新たな攻撃パターンの特定に役立てています。

最先端の検出ツールと厳格なトレーニングを組み合わせることで、組織はQRコード詐欺の進化する戦術の一歩先を行き、チーム全体でセキュリティを第一に考える姿勢を育むことができます。

プルーフポイントは、高度な脅威検知、配信前サンドボックス、そしてユーザー中心のセキュリティ教育を通じて、QRコード詐欺に対するエンドツーエンドの保護を提供します。独自のQRコード スキャン エンジンは、メールや添付ファイルに埋め込まれたURLを解読し、23万社以上のグローバル顧客から得られる脅威インテリジェンスと行動AIを活用してリアルタイムに解析します。配信前サンドボックスは不審なリンクを隔離し、悪意あるQRコードが受信トレイに届く前にブロックするため、配信後に対応するソリューションに比べて大きな優位性を持ちます。

法人向けには、プルーフポイントのセキュリティ意識向上トレーニングがQRコード詐欺のシミュレーションを組み込んでいます。これにより、リスクの高いユーザーを適応型の学習プログラムに自動登録し、QRコードを利用した認証情報窃盗のような進化する手口への対抗力を高めます。NexusAIやURLサンドボックスを含む多層的な防御により、99.99%のメール脅威を無力化する一方、PhishAlarmのような統合機能は、従業員が不審なコードをシームレスに報告できるよう支援します。機械の速さで行う分析と人間の警戒心を組み合わせることで、プルーフポイントはQRコード詐欺がもたらす複合的なリスクから組織を守ります。事実、Fortune 100企業のうち87%を保護しています。

詳細については、プルーフポイントにお問い合わせください。