「メールのURLフィルタリングをしっかりやっているのに、なぜフィッシング被害が止まらないの?」
「QRコードをメールに貼るだけで、セキュリティをかわせてしまうんでしゅか?」
ボス、QRコードを使ったフィッシングって最近増えているって聞きましゅた。どうやってセキュリティをかわしているんでしゅか?
シンプルな話だ。多くのメールセキュリティはURLのリンクを検査するが、QRコードは画像として埋め込まれているため、そのURLが検査対象にならない。画像の中に悪意あるURLを隠す、という単純な発想が、高度なセキュリティ製品をすり抜けているわけだ。
Trend Micro Japanが2026年7月8日に警告を発した「Quishing(クイッシング)」は、QRコードをメールに画像として埋め込むことでURLフィルタリングを回避するフィッシング手法です。
Anti-Phishing Working Group(APWG)の報告によると、2025年には画像ベースのフィッシング攻撃が約400万件に達しており、日本企業でも対策が急務です。
- QRコードは画像として添付されるため、従来のURLブロックリスト・レピュテーション検査が機能しない
- 2025年に画像ベースのフィッシングが約400万件。Unicode変換・分割画像など回避手法も高度化
- URLスキャンだけでは検知できないため、多層防御とDNSフィルタリングの組み合わせが必要
この記事では、Quishing攻撃の仕組みと、従来のメールセキュリティが効かない理由、そして今すぐ実施できる対策を解説します。
目次
Quishing攻撃が急増している背景と実態
なぜQRコードがフィッシングに悪用されるようになったのか、その背景を整理します。
URLスキャンをかわす「画像の中のQRコード」という発想
従来のメールセキュリティは、メール本文や添付ファイル内のURLリンクを抽出し、ブラックリストやサンドボックスで検査します。
しかし、QRコードは画像ファイルとして埋め込まれているため、その中に含まれるURLは自動的には抽出されません。
つまり、フィッシングリンクをQRコード画像に変換するだけで、多くのメールセキュリティ製品の検査をすり抜けられてしまいます。
さらに攻撃者は検知を難しくするため、以下のような高度な回避手法も組み合わせています。
- ASCIIではなくUnicode文字でQRコードを生成し、パターン検知を回避する
- Blob URIを使って悪意あるURLをローカルデータとして一時処理する
- QRコードを複数の画像に分割して埋め込み、単体では検知されにくくする
- multipart MIME形式で短縮URLをクラウドサービス経由でリダイレクトさせる
「QRコードは安全」という思い込みが被害を広げる
でも、受け取った人がQRコードを読み取るかどうかわからないでしゅよね。そんなに引っかかる人いるんでしゅか?
そこが問題だ。QRコードに「Microsoftアカウントの確認が必要です」「セキュリティ設定を更新してください」といった緊迫感のある文面を添えて送ると、スマートフォンで読み取ってしまうユーザーが続出する。しかもスマートフォンは、PCよりもセキュリティ保護が弱いことが多い。
Quishingが特に効果的な理由のひとつは、一般ユーザーが「QRコードは安全」という先入観を持っていることです。
テキストリンクには警戒するユーザーでも、QRコード形式にすると読み取ってしまうケースが報告されています。
Anti-Phishing Working Groupは、2025年に画像ベースのフィッシングが約400万件に達したと報告しており、急速に普及していることがわかります。
Quishing対策:URLスキャン依存からの脱却
Quishingに対して有効な対策は、従来のURLスキャン中心の防御とは異なります。
技術的対策とユーザー教育の組み合わせが必要
Quishing対策として今すぐ実施できる技術的な対策は以下の通りです。
- メールゲートウェイで画像内のQRコードを解析し、URLを展開して検査できる製品に切り替える
- DNSフィルタリングを導入し、QRコード読み取り後にアクセスする悪意あるドメインをブロックする
- ゼロトラスト原則に基づき、スマートフォンからの社内システムアクセスにもMFAを必須化する
- フィッシング訓練にQRコード型のシナリオを追加し、ユーザーの認識を高める
まとめ
URLスキャンを過信してはいけない。攻撃者は常に検知の穴を探している。QRコードフィッシングはその典型例で、今後もフィッシング手法は巧妙化し続ける。多層防御とユーザー教育の両輪が欠かせない。
QRコードを受け取ったら、誰が送ってきたものかをしっかり確認してから読み取るようにしましゅ。
Quishing(QRコードフィッシング)は、メールセキュリティの「URLを検査する」という設計上の前提を突いた攻撃です。
2025年には約400万件の画像ベースのフィッシングが確認されており、今後も増加が予想されます。
URLスキャンだけに頼った防御は通用しなくなっており、画像解析機能を持つメールゲートウェイへの移行、DNSフィルタリング、そしてQRコード型フィッシング訓練の実施が、今の企業に求められています。