Quishing(クイッシング)は、QR Code と Phishing を組み合わせた造語で、悪意あるURLをQRコードの画像に隠すフィッシングです。メール本文にリンクを貼る代わりにQR画像を載せ、「スマホで読み取ってください」と誘導する——たったこれだけの工夫が、企業のメール防御に大きな穴を開けています。
Microsoft の脅威インテリジェンスによると、Quishing は2026年第1四半期に最も急成長したメール攻撃でした。攻撃量は1月の760万件から3月の1,870万件へと、四半期で146%増加。2025年だけで約5倍に伸び、全フィッシングの12%にQRコードが含まれ、その68%がモバイル利用者を標的にしていました。本記事は、なぜQRコードがこれほど有効なのか、最新の回避テクニック、実際の攻撃事例、そして本当に効く対策を整理します。
なぜQRコードはフィッシングに有効なのか
Quishing が厄介なのは、従来のフィッシング対策が前提にしている「リンクをテキストとして検査する」仕組みをすり抜ける点にあります。理由は大きく3つです。
- URLが画像の中に隠れる:メールのセキュリティゲートウェイの多くはテキストのリンクを解析して評価しますが、QRは画像です。中のURLをデコードしなければ判定できず、画像を解析しない製品は素通りさせてしまいます。
- 管理されたPCから、管理外のスマホへ誘導される:QRを読むのは個人のスマートフォン。するとEDR、Webプロキシ、社内DNSフィルタといった企業の防御をすべて飛び越え、保護のない端末で悪性サイトを開いてしまいます。
- 利用者が行き先を確認しない:ある調査では73%の人がQRの遷移先を確認せずにスキャンしていました。コードを見ても人間にはURLが読めないため、警戒が働きません。
典型的な攻撃シナリオ
ビジネスを狙う Quishing は、もっともらしい業務メールを装います。代表的なパターンはこうです。
- 「多要素認証の再設定が必要です」「給与明細を確認してください」「共有ドキュメントが届きました」といった件名のメールが届く。
- 本文にはMicrosoftやDocuSign風のロゴとQRコード。「社内ポリシーによりスマホでの認証が必要」などと、スキャンを正当化する文面が添えられる。
- QRを読むと、本物そっくりのMicrosoft 365ログイン画面(実はAitMフィッシングサイト)に飛ぶ。
- 利用者がID・パスワード・MFAコードを入力すると、背後のプロキシが正規サーバへ中継し、発行されたセッションCookieを横取りする。
最後の段が重要です。最近の Quishing は単なる認証情報窃取に留まらず、AitM(Adversary-in-the-Middle)でセッショントークンを盗み、MFAを回避します。これは セッションCookie窃取(pass-the-cookie) と同じゴールで、QRはその「入口」を担うわけです。
物理世界の Quishing も増えています。駐車場の料金機・飲食店メニュー・ポスターに偽QRシールを上から貼る手口で、決済情報やログイン情報を盗みます。「貼り紙のQR」も無条件には信用できません。
進化する検知回避テクニック
メール製品がQR画像をデコードして検査し始めると、攻撃者はすぐに回避策を編み出しました。2026年に観測されている主な手口です。
- ロゴ埋め込みの「装飾QR」:ブランドロゴやカラー、独自のモジュール形状を混ぜ込む。読み取りは可能なまま、検知ツールのパターン認識を狂わせる。
- ASCIIアート/Unicode QR:画像ではなく文字の組み合わせでQRを描く。「画像添付だけをスキャンする」フィルタを根本から回避する。
- PDF添付に同梱:メール本体にはリンクもQRも置かず、添付PDFの中にQRを入れて「スマホで読んで」と誘導。検査の階層を一段増やす。
- 分割・入れ子QR、マルチパートMIME悪用、Blob URI:ペイロードを複数の画像要素に断片化して、単純な画像解析では1枚の悪性QRと認識させない。
- AIによる量産:本物そっくりのフィッシングページを瞬時に生成し、標的ごとに文面を最適化。検知をかいくぐりながら大量配信する。
実際の攻撃事例:北朝鮮 Kimsuky
Quishing は金銭目的の犯罪者だけでなく、国家支援型の攻撃者も使います。2026年1月、FBIはフラッシュアラートを発出し、北朝鮮系の攻撃グループ Kimsuky が、シンクタンク・学術機関・米政府機関を狙うスピアフィッシングメールにQRコードを埋め込んでいたと警告しました。これらの攻撃は一貫して、AitMプロキシによるセッショントークン窃取とMFA回避で締めくくられていたとされます。標的型の世界でも、QRは有力な初期侵入手段になっています。
図解案:Quishingが防御をすり抜ける経路
[攻撃メール] 本文にQR画像(URLは画像内に隠蔽)
│ ← テキスト型メールフィルタは中身を読めず素通り
▼
[管理されたPC] でメールを閲覧
│ 「スマホで読み取ってください」
▼
[個人のスマホ] でQRをスキャン ← EDR/プロキシ/社内DNSの“外側”
│
▼
[AitMフィッシングサイト] 本物そっくりのログイン
│ ID/PW/MFAを中継 → セッションCookieを横取り
▼
[アカウント乗っ取り] MFA有効でも侵入成立
要点:検査の“盲点(画像)”と防御の“境界外(個人スマホ)”を同時に突く対策
1. 認証をフィッシング耐性化する(最も効く)
どれだけ巧妙なQuishingでも、Passkey/FIDO2セキュリティキーなら認証そのものが成立しません。Passkeyは正規オリジンに束縛されるため、AitMプロキシ経由のログインでは鍵が反応しないのです。Quishing対策の本命は技術であり、フィッシング耐性のある認証への移行が最優先です。OTP・SMSベースのMFAはAitMで回避され得る点に注意してください。
2. 画像・QRを解析できるメールセキュリティ
- 添付画像・PDF内のQRをデコードしてURLを評価できる製品を選ぶ。テキストリンクだけの検査では不十分。
- 装飾QRやASCIIアートQRにも対応できるか、回避耐性を確認する。
3. セッション窃取を前提にした多層防御
- 条件付きアクセス:管理対象端末からのみ業務アカウントにアクセス許可。個人スマホからの認証を制限する。
- セッションを短命に・異常検知で即失効。盗まれたトークンの有効時間を縮める( セッション窃取対策 と共通)。
4. 利用者教育
- 「メールやチャットのQRで認証・ログインを求められたら疑う」を周知。正規のMFA設定は通常QRスキャンを強要しない。
- スキャン前に遷移先URLのプレビューを確認する習慣(多くのスマホカメラはURLを一旦表示する)。
- 物理QR(貼り紙・店頭)も、シールの上貼りがないか確認する。
- QRを自分で作る・読む仕組みを理解しておくと判断が速い( QR Code ジェネレーター でQRの中身がURLそのものであることを体感できます)。
まとめ
Quishing が急増しているのは、「画像という検査の盲点」と「個人スマホという防御の境界外」を同時に突けるからです。そしてゴールは多くの場合、AitMによるセッション窃取とMFA回避。つまり Quishing は ClickFix や インフォスティーラー と同じ「認証済みセッションの奪取」へ至る入口の一つです。
守りの結論はシンプルです——Passkey/FIDO2でログインそのものをフィッシング耐性化し、画像対応のメール検査と条件付きアクセスで多層化する。教育は不可欠ですが、73%がURLを確認せずスキャンする以上、技術的な防御を主役に据えるのが現実解です。認証方式の比較は MFA・TOTP・FIDO2・Passkeyの違い も合わせてご覧ください。
※ 本記事の統計値・事例・手法は、Microsoft/FBI/各セキュリティベンダーの公表内容および報道に基づきます。攻撃手法は変化が速いため、対策時は最新の公式情報をご確認ください。