QRコードを使った詐欺クイッシング（Quishing）とは？手口や対策を解説

クイッシング（Quishing）とは、QRコードを悪用した新たなタイプのフィッシング詐欺です。

もともとフィッシング詐欺は、メールやSMSに偽のリンクを送り、ユーザーを不正サイトに誘導して情報を盗む手口として知られていましたが、クイッシングはこれをQRコードで実現しています。

スマートフォンでQRコードをスキャンすると、知らないうちにフィッシングサイトにアクセスさせられ、個人情報やパスワードを入力させられるリスクが高まります。

クイッシングの増加には、QRコードの利便性と、ユーザーのリテラシー不足が関係していると考えられています。

クイッシングの由来

「クイッシング（Quishing）」は、「QRコード」と「フィッシング（Phishing）」を組み合わせた造語です。この用語は、サイバーセキュリティ業界で比較的新しく使われ始めたもので、サイバー犯罪者が電子メールやポスター、ウェブ広告などにQRコードを使用して、ユーザーを悪意のあるサイトに誘導する手口のことを指します。

クイッシングという言葉が登場したのは2023年ごろで、特にパンデミック後にQRコードの利用が拡大したことを背景に、QRコード詐欺の被害が増加しています

クイッシング被害の拡大

近年、サイバー犯罪者はフィッシングメールにQRコードを添付する手口を利用し、被害者をフィッシングサイトに誘導するケースが増えています。

QRコードの画像ファイル自体がセキュリティシステムでは「安全」と見なされがちなことから、従来のリンククリック型フィッシングよりも検出されにくいという利点を利用しています。

このため、QRコードを用いた詐欺被害が急増し、特に2023年には世界中で被害事例が報告されるようになりました

このように、クイッシングを含むフィッシング詐欺はますます巧妙化・多様化しており、特にQRコードの利用により新たな詐欺手法が発展していると報告されています。

クイッシングは、通常のフィッシング詐欺の手法をQRコードで代用する形で行われます。具体的な手口は以下の通りです：

URLリダイレクトによるフィッシング

QRコードに埋め込まれたリンクは、一見すると安全なURLに見えるものの、実際には複数のリダイレクトを経てフィッシングサイトに誘導されます。

ユーザーはQRコードのリンク先を確認しづらいため、リダイレクトされても気づかないことが多いです。

偽装QRコードの作成

詐欺師が正規のQRコードに見せかけて偽のコードを作成するケースもあります。

例えば、飲食店のメニューQRコードやキャンペーン用のコードが偽装されると、ユーザーは不正なサイトに誘導されやすくなります。

被害の典型的なケース

クイッシングで多いケースには、金融機関の偽サイトへの誘導や、SNSアカウントを盗み取るためのページが含まれます。

例えば、「再登録が必要」といった緊急性を煽るメッセージとともにQRコードを使うことで、被害者を誘導します。

では実際にクイッシングによる被害を受けると、どのようなリスクや影響が出るのかを解説します。

個人情報が不正に取得される

QRコードからフィッシングサイトに誘導され、そこに個人情報やログイン情報を入力すると、詐欺師に情報が渡ります。

これは、口座情報やSNSのパスワード盗難につながり得ます。

不正アクセスや金銭的被害

銀行口座やクレジットカード情報が盗まれると、アカウントへの不正アクセスや金銭的被害に直結します。

被害を受けた場合、取り戻すことが難しいため、予防が重要です。

他のサイバー攻撃への誘導リスク

クイッシングはさらに他のサイバー攻撃への入り口になることもあります。

QRコードからアクセスした悪質なサイトを介してマルウェアに感染させるケースもあり、端末自体が乗っ取られ、さらなる被害が発生する可能性もあります。

クイッシング詐欺を見分けるためのポイントには、以下のような方法があります。

QRコードの信頼性を確認する

信頼できるソースからのQRコードのみをスキャンすることが基本です。

例えば、公式のアプリや認証されたウェブサイトから提供されるQRコードが推奨されます。

セキュリティーソフトやアプリやツールを活用する

一部のセキュリティソフトやアプリは、QRコードのリンク先の安全性を確認する機能を提供しています。

これにより、危険なサイトにアクセスする前に警告を受けることができます。

怪しいQRコードの特徴とチェックポイント

不審なQRコードは、印刷が不鮮明であったり、公式のデザインが崩れていたりすることがあります。

違和感を感じた際には一度立ち止まってみることが大切です。

また、リンク先のURLに知らないドメインが含まれている場合も注意が必要です。

アクセスする前にQRコードのリンク先を確認するには下記のサイトをご活用ください。

画像からQRコードを検出

カメラを起動してQRコードを検出

では組織（自治体や会社）単位でできるような対策はあるのでしょうか？

定期的な啓発活動

まずは詐欺手法や手口を組織内で共有することが大切です。

そういった詐欺の手法が存在するということを常に頭の片隅においておくことで早い段階で被害を知ることができます。

また今後、クイッシングはますます巧妙化すると考えられています。

特にAIを活用した詐欺手法や、QRコード以外の手口との併用など、新たなリスクが予測されますので単発の研修ではなく定期的なセキュリティー教育が大切です。

セキュリティーソフトの導入・アップデート

業務で使用するスマホやPCにウイルス対策アプリを導入し、リンクの安全性チェック機能を利用するようにしてください。

また詐欺の手口は巧妙化しますので、セキュリティソフトは常に最新の状態に自動アップデートされるように設定してください。

QRコードは便利なツールである一方、その利便性を悪用したクイッシング詐欺は増加の一途をたどっています。

正しい知識と対策を身につけ、QRコードを安全に活用するためには、警戒心が不可欠です。

セキュリティ意識を高め、身近な情報や財産を守りましょう。

QRコードの中身の確認には以下のサイトを活用してみてください。

無料・登録不要のQRコードの作成・読み取り | QR TOOL