ssecutils
Security / Browser-native guide

Quishing(QRコードフィッシング)とは - 急増する手口と回避テク・対策

著者 aki公開 10

Quishing(クイッシング)は、QR CodePhishing を組み合わせた造語で、悪意あるURLをQRコードの画像に隠すフィッシングです。メール本文にリンクを貼る代わりにQR画像を載せ、「スマホで読み取ってください」と誘導する——たったこれだけの工夫が、企業のメール防御に大きな穴を開けています。

Microsoft の脅威インテリジェンスによると、Quishing は2026年第1四半期に最も急成長したメール攻撃でした。攻撃量は1月の760万件から3月の1,870万件へと、四半期で146%増加。2025年だけで約5倍に伸び、全フィッシングの12%にQRコードが含まれ、その68%がモバイル利用者を標的にしていました。本記事は、なぜQRコードがこれほど有効なのか、最新の回避テクニック、実際の攻撃事例、そして本当に効く対策を整理します。

なぜQRコードはフィッシングに有効なのか

Quishing が厄介なのは、従来のフィッシング対策が前提にしている「リンクをテキストとして検査する」仕組みをすり抜ける点にあります。理由は大きく3つです。

  • URLが画像の中に隠れる:メールのセキュリティゲートウェイの多くはテキストのリンクを解析して評価しますが、QRは画像です。中のURLをデコードしなければ判定できず、画像を解析しない製品は素通りさせてしまいます。
  • 管理されたPCから、管理外のスマホへ誘導される:QRを読むのは個人のスマートフォン。するとEDR、Webプロキシ、社内DNSフィルタといった企業の防御をすべて飛び越え、保護のない端末で悪性サイトを開いてしまいます。
  • 利用者が行き先を確認しない:ある調査では73%の人がQRの遷移先を確認せずにスキャンしていました。コードを見ても人間にはURLが読めないため、警戒が働きません。

典型的な攻撃シナリオ

ビジネスを狙う Quishing は、もっともらしい業務メールを装います。代表的なパターンはこうです。

  1. 多要素認証の再設定が必要です」「給与明細を確認してください」「共有ドキュメントが届きました」といった件名のメールが届く。
  2. 本文にはMicrosoftやDocuSign風のロゴとQRコード。「社内ポリシーによりスマホでの認証が必要」などと、スキャンを正当化する文面が添えられる。
  3. QRを読むと、本物そっくりのMicrosoft 365ログイン画面(実はAitMフィッシングサイト)に飛ぶ。
  4. 利用者がID・パスワード・MFAコードを入力すると、背後のプロキシが正規サーバへ中継し、発行されたセッションCookieを横取りする。

最後の段が重要です。最近の Quishing は単なる認証情報窃取に留まらず、AitM(Adversary-in-the-Middle)でセッショントークンを盗み、MFAを回避します。これは セッションCookie窃取(pass-the-cookie) と同じゴールで、QRはその「入口」を担うわけです。

物理世界の Quishing も増えています。駐車場の料金機・飲食店メニュー・ポスターに偽QRシールを上から貼る手口で、決済情報やログイン情報を盗みます。「貼り紙のQR」も無条件には信用できません。

進化する検知回避テクニック

メール製品がQR画像をデコードして検査し始めると、攻撃者はすぐに回避策を編み出しました。2026年に観測されている主な手口です。

  • ロゴ埋め込みの「装飾QR」:ブランドロゴやカラー、独自のモジュール形状を混ぜ込む。読み取りは可能なまま、検知ツールのパターン認識を狂わせる。
  • ASCIIアート/Unicode QR:画像ではなく文字の組み合わせでQRを描く。「画像添付だけをスキャンする」フィルタを根本から回避する。
  • PDF添付に同梱:メール本体にはリンクもQRも置かず、添付PDFの中にQRを入れて「スマホで読んで」と誘導。検査の階層を一段増やす。
  • 分割・入れ子QR、マルチパートMIME悪用、Blob URI:ペイロードを複数の画像要素に断片化して、単純な画像解析では1枚の悪性QRと認識させない。
  • AIによる量産:本物そっくりのフィッシングページを瞬時に生成し、標的ごとに文面を最適化。検知をかいくぐりながら大量配信する。

実際の攻撃事例:北朝鮮 Kimsuky

Quishing は金銭目的の犯罪者だけでなく、国家支援型の攻撃者も使います。2026年1月、FBIはフラッシュアラートを発出し、北朝鮮系の攻撃グループ Kimsuky が、シンクタンク・学術機関・米政府機関を狙うスピアフィッシングメールにQRコードを埋め込んでいたと警告しました。これらの攻撃は一貫して、AitMプロキシによるセッショントークン窃取とMFA回避で締めくくられていたとされます。標的型の世界でも、QRは有力な初期侵入手段になっています。

図解案:Quishingが防御をすり抜ける経路

[攻撃メール] 本文にQR画像(URLは画像内に隠蔽)
      │  ← テキスト型メールフィルタは中身を読めず素通り
      ▼
[管理されたPC] でメールを閲覧
      │  「スマホで読み取ってください」
      ▼
[個人のスマホ] でQRをスキャン  ← EDR/プロキシ/社内DNSの“外側”
      │
      ▼
[AitMフィッシングサイト] 本物そっくりのログイン
      │  ID/PW/MFAを中継 → セッションCookieを横取り
      ▼
[アカウント乗っ取り] MFA有効でも侵入成立

要点:検査の“盲点(画像)”と防御の“境界外(個人スマホ)”を同時に突く

対策

1. 認証をフィッシング耐性化する(最も効く)

どれだけ巧妙なQuishingでも、Passkey/FIDO2セキュリティキーなら認証そのものが成立しません。Passkeyは正規オリジンに束縛されるため、AitMプロキシ経由のログインでは鍵が反応しないのです。Quishing対策の本命は技術であり、フィッシング耐性のある認証への移行が最優先です。OTP・SMSベースのMFAはAitMで回避され得る点に注意してください。

2. 画像・QRを解析できるメールセキュリティ

  • 添付画像・PDF内のQRをデコードしてURLを評価できる製品を選ぶ。テキストリンクだけの検査では不十分。
  • 装飾QRやASCIIアートQRにも対応できるか、回避耐性を確認する。

3. セッション窃取を前提にした多層防御

  • 条件付きアクセス:管理対象端末からのみ業務アカウントにアクセス許可。個人スマホからの認証を制限する。
  • セッションを短命に・異常検知で即失効。盗まれたトークンの有効時間を縮める( セッション窃取対策 と共通)。

4. 利用者教育

  • 「メールやチャットのQRで認証・ログインを求められたら疑う」を周知。正規のMFA設定は通常QRスキャンを強要しない。
  • スキャン前に遷移先URLのプレビューを確認する習慣(多くのスマホカメラはURLを一旦表示する)。
  • 物理QR(貼り紙・店頭)も、シールの上貼りがないか確認する。
  • QRを自分で作る・読む仕組みを理解しておくと判断が速い( QR Code ジェネレーター でQRの中身がURLそのものであることを体感できます)。

まとめ

Quishing が急増しているのは、「画像という検査の盲点」と「個人スマホという防御の境界外」を同時に突けるからです。そしてゴールは多くの場合、AitMによるセッション窃取とMFA回避。つまり Quishing は ClickFix インフォスティーラー と同じ「認証済みセッションの奪取」へ至る入口の一つです。

守りの結論はシンプルです——Passkey/FIDO2でログインそのものをフィッシング耐性化し、画像対応のメール検査と条件付きアクセスで多層化する。教育は不可欠ですが、73%がURLを確認せずスキャンする以上、技術的な防御を主役に据えるのが現実解です。認証方式の比較は MFA・TOTP・FIDO2・Passkeyの違い も合わせてご覧ください。

※ 本記事の統計値・事例・手法は、Microsoft/FBI/各セキュリティベンダーの公表内容および報道に基づきます。攻撃手法は変化が速いため、対策時は最新の公式情報をご確認ください。

この記事を書いた人
akiサイバーセキュリティ実務者 / エンジニア

サイバーセキュリティ業界で実務に携わるエンジニア。脆弱性・認証・暗号・ネットワークなど、現場で必要になる知識を開発者・運用担当者向けにかみ砕いて解説しています。

運営者・編集方針について

本記事は一般的な情報提供を目的とした解説であり、特定環境での動作・安全性・成果を保証するものではありません。実際の対策の適用は、各自の環境と責任において判断してください。

Tool companion

この記事と一緒に使えるツール

Related reading

関連記事

Security22
日本国内の主要セキュリティインシデント事例(2020–2025)国内の主要なセキュリティインシデント12件を一覧で俯瞰し、VPN未更新・委託先/グループ経由・弱い認証という繰り返し現れる侵入経路と失敗パターン、日本企業が今すぐ確認すべき対策チェックリストを事例研究として整理します。
Security12
ノートン vs ウイルスバスター 比較2026 - どちらを選ぶべきかNorton 360とウイルスバスタークラウドを料金・機能・サポート・動作の軽さで比較。VPN・バックアップ内蔵のオールインワンか、Pay Guard・24時間日本語電話サポートの国内安心感か。用途別の選び方を解説します。
Security10
ウイルスバスター クラウド レビュー - 機能・料金・特徴を解説トレンドマイクロのウイルスバスタークラウドの機能・料金プランを解説。AI検知・ランサムウェア対策(フォルダシールド)・Pay Guard・フィッシング対策など、国内シェアNo.1セキュリティソフトの全体像をまとめます。
Security10
ノートン 360 レビュー - 機能・料金・特徴を解説【世界No.1】世界販売台数No.1のノートン(Norton 360)の機能・料金プランを解説。リアルタイム保護・VPN・パスワードマネージャー・クラウドバックアップ・ダークウェブモニタリングなど、オールインワンセキュリティの全体像をまとめます。