ML/TFリスク
古典的で新しい(?)詐欺メールの手口
2025年、警察庁を騙る詐欺メールがSNSで多数報告され、社会的関心を集めています。今回は、実際に確認されたフィッシング詐欺メールの具体的な事例をもとに、古典的ながらも悪質な手口の実態と、その背後にある構造的問題を解説します。
近年、QRコードを悪用した新たなフィッシング手法「クイッシング」が急速に拡大しています。スマートフォンの普及に伴い、その利便性の裏を突いた攻撃として注目を集めており、従来のフィッシング対策では十分に防げないケースも増加しています。 本記事では、クイッシングの仕組みと背景、そして取るべき対策について解説します。
はじめに
QRコードを活用した新たなフィッシング手法「クイッシング」が、近年急速に拡大しています。
本記事では、クイッシングの特徴や背景、そして取るべき対策について解説します。
目次
▷クイッシングが注目される理由
▷QRコードの基本を簡単に振り返りましょう。
▷モバイル端末を狙った攻撃ベクトル:オフィス外でのリスク
▷クイッシングが従来型のサイバー攻撃対策と異なる点
▷クイッシングと従来型フィッシング対策のすり抜け
▷クイッシング攻撃への対策について
▷QRコードの利便性を失わないために
クイッシングが注目される理由
クイッシングには、従来のフィッシングとは異なる独自の特徴があり、特に注意を払うべき理由があります:
- 主にスマートフォンなどのモバイル端末を狙った攻撃であり、PCやノートパソコンよりも被害に遭いやすい
- 一般的なフィッシング対策(URLの確認、送信元のチェックなど)が十分に機能しないケースがある
- 従来型のフィッシングを検知・遮断する自動ブロック機能をすり抜ける可能性がある
- オフィス外や移動中など、警戒心が緩みがちな場面で狙われることが多い
QRコードの基本を簡単に振り返りましょう。
|
モバイル端末を狙った攻撃ベクトル:オフィス外でのリスク
QRコードを利用するには、カメラと読み取り用のソフトウェアが必要ですが、AppleのiOSやAndroidなど主要なモバイルOSには標準でこの機能が組み込まれています。
QRコードは、URLの入力や連絡先の登録、地図の表示などを簡単に行えるよう設計されており、スマートフォンやタブレットとの相性が非常に良いため、世界中で広く使われています。特に、日本ではその普及率が非常に高く、日常的に目にする存在です。
スマートフォンでは、QRコードを片手で素早く読み取ることができ、画面ロックを解除しなくても読み取りが始まる場合があるため、利便性が高い反面、セキュリティ上のリスクも潜んでいます。
一方、ノートパソコンやデスクトップPCでは、QRコードを読み取るには専用のソフトウェアが必要であり、カメラにコードをかざして読み取る操作は手間がかかり、効率的とは言えません。
QRコードは主にスマートフォンで利用されるため、攻撃の対象となる場面も職場の外に広がる傾向があります。
特に注意すべきなのは、展示会などの大規模なビジネスイベントで、こうした場では多くの人がQRコードを使うため、悪意ある攻撃が仕掛けられるリスクが高まります。
また、攻撃の入り口は私たちの日常生活の中にも潜んでおり、以下のような場面が狙われやすいとされています:
- レストランやカフェでのQRコードによるメニュー表示や注文
- Wi-Fi接続の自動化(QRコードでネットワーク設定を読み込む)
- 名刺やパンフレットに印刷されたQRコード
クイッシングが従来型のサイバー攻撃対策と異なる点
フィッシングやソーシャルエンジニアリング攻撃への対策として、私たちは普段から「たとえ信頼できそうなウェブサイトからのメールであっても、リンクを安易にクリックしないよう注意すること」が推奨されています。
また、SNS上のリンクや、特に広告リンクについても、クリックを避けるべきだと広く認識されています。
フィッシングの可能性があるリンクに対する標準的なベストプラクティスは、リンクを直接クリックせずに、まずURLをメモ帳などにコピーして、ドメインが信頼できるものかを確認したうえで、ブラウザに貼り付けてアクセスするという方法です。
QRコードは人間の目では内容を判別できないため、埋め込まれているURLが何かを事前に知ることはできません。
たとえば、以下にあるCDLのQRコードのうち一つはCDLの公式ホームページへの正規リンクですが、もう一つは「偽のリンク」で、日本政府の国家サイバー統括室のホームページへ誘導されるものです。どちらが本物かは、実際にQRコードを読み取るまで判別できません。さらに、多くのスマートフォン用QRコードリーダーは、アクセス前に表示される情報が非常に限られているため、ユーザーが十分な判断材料を得られないことがあります。
このような特性が、クイッシング(QRコード型フィッシング)のリスクを高める要因となっています。
|
|
|
どちらか一方は偽のQRコードですが、見た目では判別できません
したがって、私たちはQRコードの出所(どこから提供されたものか)や、そこからアクセスするリンクの信頼性について、特に注意を払う必要があります。
クイッシングと従来型フィッシング対策のすり抜け
主要なメールサービスや多くの企業のメールフィルタリングでは、受信したメール内のハイパーリンクを自動的に検出し、警告を表示したり、リンク自体を無効化したりする仕組みが導入されています。しかし、クイッシング(QRコード型フィッシング)は、こうした対策を回避するための新たな攻撃手法として、サイバー犯罪者の間で注目されています。技術的に見ると、QRコードは単なる画像であり、たとえば信頼できるQRコードマーケティングサービスを経由して配信されるよう設定することも可能です。企業のメールシステムでそのサービスが「信頼済み」とされている場合、QRコードは従来のフィッシング検知システムをすり抜けてしまう可能性があります。さらに、QRコードは一見無害な画像の中に埋め込むこともできるため、ユーザーの警戒心をさらに下げてしまいます。
また、QRコードは「ノーテック(非デジタル)」な物理的な配布手段にも非常に適しており、パンフレット、ニュースレター、看板、衣類などに印刷することが可能です。物理的なステッカーとしても簡単に作成できるため、たとえば共有スペースで配布されるニュースレターに悪意あるQRコードステッカーを貼り付けるといった攻撃も現実的です。本物のQRコードの上に偽のコードを重ねて貼ることも可能であり、仮に信頼できる企業からパンフレットを受け取ったとしても、QRコードがステッカーであることに気づいても不審に思う人は少ないでしょう。
信頼できる出版物にQRコードのステッカーが貼られていても、私たちは特に不審には思わないでしょう
クイッシング攻撃への対策について
現在確認されているクイッシング(QRコード型フィッシング)攻撃の多くは、個人を対象としたB2C型の手法です。
その手口には段階があり、たとえばマーケティング目的で使われる「オンザフライ収集」(QRコードに個別タグを付けて、ユーザーを目的のサイトに誘導する前に情報を取得する)といった軽度なものから、ファイアウォールやフィッシングフィルターを回避して企業のセキュリティを突破しようとする悪質な攻撃まで存在します。
ユーザー自身がクイッシングから身を守るのは非常に難しく、極端に言えば「QRコードを一切読み取らない」以外に確実な方法はありません。
ただし朗報もあります。QRコードは機械的に読み取られる画像データであるため、メールに含まれている場合は比較的検出しやすく、たとえばMicrosoft Office 365のDefenderモバイルアプリなどでは、メール内のQRコードを削除したり、埋め込まれたURLを検査して信頼できない場合は除去したりするように設定することが可能です。
それ以外の場面では、他のサイバー脅威と同様に、過剰な警戒による不便さと、ビジネスへの潜在的なリスクとのバランスを取ることが重要です。
QRコードの利便性を失わないために
QRコードは非常に便利な技術であり、クイッシングの脅威があるからといって全面的に排除してしまうのは、本来の利便性を損なう残念な結果になりかねません。
この分野は今後も注意深く見守る必要があり、クイッシングの普及が進むにつれて、スマートフォンメーカーがどのような技術的対策を講じるかにも注目が集まるでしょう。
著者のご紹介
ウオリック・マセウス
ウオリック・マセウス(Warwick Matthews)
最高技術責任者 兼 最高データ責任者
複雑なグローバルデータ、多言語MDM、アイデンティティ解決、「データサプライチェーン」システムの設計、構築、管理において15年以上の専門知識を有し、最高クラスの新システムの構築やサードパーティプラットフォームの統合に従事。 また、最近では大手企業の同意・プライバシー体制の構築にも携わっている。
米国、カナダ、オーストラリア、日本でデータチームを率いた経験があり、 最近では、ロブロー・カンパニーズ・リミテッド(カナダ最大の小売グループ)および米国ナショナル・フットボール・リーグ(NFL)のアイデンティティ・データチームのリーダーとして従事。
アジア言語におけるビジネスIDデータ検証、言語間のヒューリスティック翻字解析、非構造化データのキュレーション、ビジネスから地理のIDデータ検証など、いくつかの分野における特許の共同保有者でもある。