クイッシング(QR コードフィッシング)
クイッシング(QR コードフィッシング) とは何ですか?
クイッシング(QR コードフィッシング)クリック可能なリンクの代わりに QR コードを用いて、被害者を認証情報窃取やマルウェア配布のページへ誘導するフィッシング手法。
クイッシング(QR phishing)は、メールや PDF、ポスター、パーキングメーター、レストランのチラシなどに悪意ある QR コードを掲載します。被害者がスマートフォンのカメラで読み取ると、企業メールゲートウェイや管理対象ブラウザの外側で攻撃者の URL が開かれます。QR コードは画像のため従来の URL フィルタや DMARC では検知されにくく、個人スマートフォンは管理されていないことが多いです。2023 年以降、Microsoft 365 の safe-link 書き換えを回避し、偽装した "MFA 登録" PDF を添付する手口として急増しました。対策には QR を解析できるメールフィルタ、Web 保護付きの MDM、利用者教育、認証情報入力前に QR の URL を必ず確認する運用が含まれます。
● 例
- 01
メール添付の PDF が "Microsoft 365 の再認証" として QR コードのスキャンを求め、偽の Entra ID ログインへ誘導。
- 02
市営パーキングメーターの公式 QR の上に不正なステッカーを貼り、攻撃者のウォレットへ決済を転送。
● よくある質問
クイッシング(QR コードフィッシング) とは何ですか?
クリック可能なリンクの代わりに QR コードを用いて、被害者を認証情報窃取やマルウェア配布のページへ誘導するフィッシング手法。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
クイッシング(QR コードフィッシング) とはどういう意味ですか?
クリック可能なリンクの代わりに QR コードを用いて、被害者を認証情報窃取やマルウェア配布のページへ誘導するフィッシング手法。
クイッシング(QR コードフィッシング) はどのように機能しますか?
クイッシング(QR phishing)は、メールや PDF、ポスター、パーキングメーター、レストランのチラシなどに悪意ある QR コードを掲載します。被害者がスマートフォンのカメラで読み取ると、企業メールゲートウェイや管理対象ブラウザの外側で攻撃者の URL が開かれます。QR コードは画像のため従来の URL フィルタや DMARC では検知されにくく、個人スマートフォンは管理されていないことが多いです。2023 年以降、Microsoft 365 の safe-link 書き換えを回避し、偽装した "MFA 登録" PDF を添付する手口として急増しました。対策には QR を解析できるメールフィルタ、Web 保護付きの MDM、利用者教育、認証情報入力前に QR の URL を必ず確認する運用が含まれます。
クイッシング(QR コードフィッシング) からどのように防御しますか?
クイッシング(QR コードフィッシング) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
クイッシング(QR コードフィッシング) の別名は何ですか?
一般的な別名: QR フィッシング, QRishing。
● 関連用語
- attacks№ 821
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。
- attacks№ 1059
スミッシング
SMS など携帯端末向けメッセージを用いたフィッシング攻撃。悪意あるリンクのクリックや偽番号への発信、情報の入力を促す。
- attacks№ 140
コールバックフィッシング
無害に見えるメールで被害者に電話を掛けさせ、人手のオペレーターがマルウェアの導入まで誘導する 2 段階フィッシング。
- identity-access№ 230
クレデンシャル収集
ユーザー名・パスワード・トークンなど認証情報を大量に集める行為で、通常はその後のアカウント乗っ取りや売買に使われる。
- attacks№ 1065
ソーシャルエンジニアリング
心理的な操作によって人を欺き、攻撃者に有利な行動を取らせたり機密情報を引き出したりする攻撃の総称。