QRコードフィッシング(Quishing)が急増、メールのURLスキャンを画像で回避する手口と対策を解説

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「メールのURLフィルタリングをしっかりやっているのに、なぜフィッシング被害が止まらないの?」
「QRコードをメールに貼るだけで、セキュリティをかわせてしまうんでしゅか?」

チップス

ボス、QRコードを使ったフィッシングって最近増えているって聞きましゅた。どうやってセキュリティをかわしているんでしゅか?

ボス

シンプルな話だ。多くのメールセキュリティはURLのリンクを検査するが、QRコードは画像として埋め込まれているため、そのURLが検査対象にならない。画像の中に悪意あるURLを隠す、という単純な発想が、高度なセキュリティ製品をすり抜けているわけだ。

Trend Micro Japanが2026年7月8日に警告を発した「Quishing(クイッシング)」は、QRコードをメールに画像として埋め込むことでURLフィルタリングを回避するフィッシング手法です。
Anti-Phishing Working Group(APWG)の報告によると、2025年には画像ベースのフィッシング攻撃が約400万件に達しており、日本企業でも対策が急務です。

  • QRコードは画像として添付されるため、従来のURLブロックリスト・レピュテーション検査が機能しない
  • 2025年に画像ベースのフィッシングが約400万件。Unicode変換・分割画像など回避手法も高度化
  • URLスキャンだけでは検知できないため、多層防御とDNSフィルタリングの組み合わせが必要

この記事では、Quishing攻撃の仕組みと、従来のメールセキュリティが効かない理由、そして今すぐ実施できる対策を解説します。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

Quishing攻撃が急増している背景と実態

なぜQRコードがフィッシングに悪用されるようになったのか、その背景を整理します。

URLスキャンをかわす「画像の中のQRコード」という発想

従来のメールセキュリティは、メール本文や添付ファイル内のURLリンクを抽出し、ブラックリストやサンドボックスで検査します。
しかし、QRコードは画像ファイルとして埋め込まれているため、その中に含まれるURLは自動的には抽出されません。
つまり、フィッシングリンクをQRコード画像に変換するだけで、多くのメールセキュリティ製品の検査をすり抜けられてしまいます。

さらに攻撃者は検知を難しくするため、以下のような高度な回避手法も組み合わせています。

  • ASCIIではなくUnicode文字でQRコードを生成し、パターン検知を回避する
  • Blob URIを使って悪意あるURLをローカルデータとして一時処理する
  • QRコードを複数の画像に分割して埋め込み、単体では検知されにくくする
  • multipart MIME形式で短縮URLをクラウドサービス経由でリダイレクトさせる

「QRコードは安全」という思い込みが被害を広げる

チップス

でも、受け取った人がQRコードを読み取るかどうかわからないでしゅよね。そんなに引っかかる人いるんでしゅか?

ボス

そこが問題だ。QRコードに「Microsoftアカウントの確認が必要です」「セキュリティ設定を更新してください」といった緊迫感のある文面を添えて送ると、スマートフォンで読み取ってしまうユーザーが続出する。しかもスマートフォンは、PCよりもセキュリティ保護が弱いことが多い。

Quishingが特に効果的な理由のひとつは、一般ユーザーが「QRコードは安全」という先入観を持っていることです。
テキストリンクには警戒するユーザーでも、QRコード形式にすると読み取ってしまうケースが報告されています。
Anti-Phishing Working Groupは、2025年に画像ベースのフィッシングが約400万件に達したと報告しており、急速に普及していることがわかります。

Quishing対策:URLスキャン依存からの脱却

Quishingに対して有効な対策は、従来のURLスキャン中心の防御とは異なります。

技術的対策とユーザー教育の組み合わせが必要

Quishing対策として今すぐ実施できる技術的な対策は以下の通りです。

  • メールゲートウェイで画像内のQRコードを解析し、URLを展開して検査できる製品に切り替える
  • DNSフィルタリングを導入し、QRコード読み取り後にアクセスする悪意あるドメインをブロックする
  • ゼロトラスト原則に基づき、スマートフォンからの社内システムアクセスにもMFAを必須化する
  • フィッシング訓練にQRコード型のシナリオを追加し、ユーザーの認識を高める

まとめ

ボス

URLスキャンを過信してはいけない。攻撃者は常に検知の穴を探している。QRコードフィッシングはその典型例で、今後もフィッシング手法は巧妙化し続ける。多層防御とユーザー教育の両輪が欠かせない。

チップス

QRコードを受け取ったら、誰が送ってきたものかをしっかり確認してから読み取るようにしましゅ。

Quishing(QRコードフィッシング)は、メールセキュリティの「URLを検査する」という設計上の前提を突いた攻撃です。
2025年には約400万件の画像ベースのフィッシングが確認されており、今後も増加が予想されます。
URLスキャンだけに頼った防御は通用しなくなっており、画像解析機能を持つメールゲートウェイへの移行、DNSフィルタリング、そしてQRコード型フィッシング訓練の実施が、今の企業に求められています。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次