QRコードフィッシング(クイッシング)とは?
QRコードフィッシング(クイッシング:Quishing)とは、偽のQRコードを使って悪意あるサイトに誘導し、個人情報や認証情報を盗み取る詐欺手法です。詐欺・なりすまし(人の心理を狙う)の中でも急速に拡大している脅威で、駐車場の支払い、レストランのメニュー、イベントの受付など、日常的にQRコードが使われる場面で仕掛けられます。メールに添付されたQRコード、街中に貼られた偽のQRコードシール、SNSで拡散される怪しいQRコードなど、様々な手口で攻撃が行われます。スマートフォンの普及とコロナ禍での非接触決済の広がりにより、被害が急増しています。
QRコードフィッシング(クイッシング)を簡単に言うと?
偽の看板で道案内をするようなものです。例えば、本物の「駐車場料金支払い」の看板の上に、偽の看板を貼り付けて、全く違う場所(詐欺サイト)に案内してしまいます。QRコードは人間には読めない「暗号」のようなものなので、スキャンするまで本物か偽物か分かりません。レストランのテーブルに貼ってある「メニューはこちら」というQRコードが、実は「クレジットカード情報を入力してください」という詐欺サイトにつながっていたり、駐車場の料金支払いQRコードが偽物にすり替えられていたりします。便利な技術だからこそ、「とりあえずスキャンしてみる」という油断を狙った、現代的な罠なのです。
QRコードフィッシング(クイッシング)で発生する被害は?
QRコードフィッシングにより、金融情報の窃取、アカウントの乗っ取り、マルウェア感染などが発生します。詐欺・なりすまし(人の心理を狙う)手法として、QRコードの中身が見えないという特性を悪用し、ユーザーを偽サイトに誘導して様々な情報を盗み取ります。特に、決済や認証でQRコードを使う場面が増えたことで、金銭的被害が拡大しています。
QRコードフィッシング(クイッシング)で発生する直接的被害
- 決済情報の窃取と不正利用
駐車場や飲食店の支払いQRコードから偽の決済画面に誘導され、クレジットカード情報や銀行口座情報を入力させられて、不正利用される
- ログイン認証情報の詐取
偽のWi-Fi接続QRコードや会員登録QRコードでIDとパスワードを入力させられ、メールやSNSアカウントが乗っ取られる
- 個人情報の大量収集
イベント受付や懸賞応募の偽QRコードで、氏名、住所、電話番号、生年月日などを収集され、なりすましや別の詐欺に利用される
QRコードフィッシング(クイッシング)で発生する間接的被害
- マルウェアの自動ダウンロード
QRコードから誘導された偽サイトで、知らないうちにスマートフォンにマルウェアがインストールされ、長期的に監視される
- ビジネスへの信頼失墜
店舗や施設の正規QRコードが偽物にすり替えられ、顧客が被害に遭うことで、管理責任を問われて評判が悪化する
- 二次的な詐欺被害の拡大
盗まれた連絡先情報を使って友人や家族にも詐欺メッセージが送られ、信頼関係を悪用した連鎖的な被害が発生する
QRコードフィッシング(クイッシング)の対策方法
QRコードフィッシングへの対策は、QRコードの発行元確認、URL事前確認機能の活用、不審なQRコードのスキャン回避が基本となります。詐欺・なりすまし(人の心理を狙う)手法への対策として、公共の場所のQRコードには特に注意し、アプリ内蔵のQRスキャナーよりもセキュリティ機能付きスキャナーの使用が重要です。また、決済や個人情報入力を求められた場合は一度立ち止まり、公式サイトから直接アクセスすることで被害を防ぐことができます。
QRコードフィッシング(クイッシング)の対策を簡単に言うと?
知らない人からもらった包み物を開ける前に確認することに例えると、まずQRコードの「送り主」が信頼できるか確認します(発行元確認)。街中に貼ってあるQRコードの上に、別のシールが貼られていないかチェックし、怪しいと思ったらスキャンしません。スマートフォンの設定で「URLプレビュー機能」をオンにして、スキャンした後に「このサイトに行きますか?」と確認画面が出るようにします。特に「今すぐ支払いが必要」「限定特典」など、急がせるような文言があったら要注意。大切なのは「QRコードは見た目で判断できない」という意識を持ち、「スキャンする前に一呼吸置く」習慣をつけることです。便利だからといって無防備にスキャンせず、慎重に行動することが身を守る第一歩です。
QRコードフィッシング(クイッシング)に関連した攻撃手法
詐欺・なりすまし(人の心理を狙う)において、QRコードフィッシング(クイッシング)と密接に関連する3つの攻撃手法を解説します。
- フィッシング
QRコードフィッシングは、従来のフィッシングの進化形です。メールのリンクではなくQRコードを使うことで、URLが見えないため偽サイトだと気づきにくく、フィッシングの成功率が高まります。両者の手口と対策には多くの共通点があります。
- スミッシング/ビッシング/SNS詐欺
QRコードフィッシングは、SMSやSNSと組み合わせて実行されることが多いです。「荷物の再配達はこのQRコードから」というSMSや、SNSで「お得なクーポンQRコード」として拡散され、スミッシングとクイッシングが融合した複合的な詐欺となっています。
- ソーシャルエンジニアリング
QRコードフィッシングの成功には、人間の心理を突くソーシャルエンジニアリングが不可欠です。「便利」「お得」「緊急」といった心理的圧力を使い、警戒心を解いてQRコードをスキャンさせます。物理的なQRコードの貼り替えも、ソーシャルエンジニアリングの一種です。
QRコードフィッシング(クイッシング)のよくある質問
見るだけなら安全です。危険なのはスキャンして表示されたサイトで個人情報を入力したり、アプリをダウンロードしたりすることです。ただし、スキャンしただけでマルウェアサイトに誘導される可能性はあります。
比較的安全ですが、完全ではありません。銀行や決済アプリ内蔵のQRリーダーは、特定の形式のQRコードしか読まないため安全性が高いですが、汎用的なQRリーダーは注意が必要です。
雑誌や公式パンフレットなど、改ざんが困難な印刷物は比較的信頼できます。ただし、後から貼られたシールには注意が必要です。レシートやチラシは偽造しやすいため注意してください。
正規の加盟店で、店舗が提示するQRコードを読み取る方式(MPM)は比較的安全です。ただし、街中に貼られた決済用QRコードや、個人間送金のQRコードは慎重に確認する必要があります。
自社のQRコードには電子署名を付け、定期的に偽QRコードが出回っていないか監視します。また、顧客向けに「公式QRコードの見分け方」を周知し、被害防止に努めることが重要です。
QRコードスキャナーアプリの中には、読み取ったURLを表示してから開くか選択できるものがあります。また、オンラインのQRコードデコーダーで、画像をアップロードして中身を確認することも可能です。
更新履歴
- 初稿公開
