「Check Point Software Technologies」や「トレンドマイクロ」社など複数のセキュリティベンダーから、QRコードを悪用したフィッシング詐欺の手口が急増しているとして注意喚起されている。

「クイッシング」増加する現状

確認されている攻撃手法は、一見すると正常なQRコードに悪意あるURLが仕込まれている「QRコードフィッシング」や「クイッシング」と呼ばれるもので、アメリカを中心に攻撃事例が急増している。
攻撃者はQRコードを通じてリダイレクトリンクを仕込み、ユーザーを偽のウェブページに誘導して認証情報を窃取する。
Check Pointの調査によれば、2022年5月ごろから攻撃数は2,400%に増加、特に8月から9月にかけてQRコードを使用したフィッシング詐欺は587%増加しているとのこと。
2022年アメリカでは、スマートフォンユーザーの約8,900万人がQRコードスキャンを利用しており、2025年には1億人以上に達すると予測されていることからも「QRコードフィッシング」や「クイッシング」の被害も増加が懸念される。

クイッシングは、従来のメールを使ったフィッシング詐欺にも応用され始めている。
トレンドマイクロ社は、これまでフィッシングサイトへの誘導に使われていたURLがQRコードになることで見た目での識別がほぼ不可能なるとして警告している。
日本においてもすでに、「学習院大学」や「オートバックス」、スーパーマーケット「いなげや」などのダイレクトメールやweb広告内のQRコードリンク先が本来と異なるページに改ざんされている事態が発生している。

対策

Check Pointは、セキュリティ専門家に向けてOCRを活用した電子メールセキュリティの導入をはじめ、AI、ML、NLP活用型セキュリティの採用、悪意ある攻撃を特定するための複数のセキュリティを推奨している。
またトレンドマイクロ社からは、見た目によるリンクへの違和感が難しくなるため、セキュリティ製品の利用や決済が関わるアカウントには多要素認証の活用、知人や団体から送られてきたQRコードは読み取る前に安全性を確認するなどの対策を呼びかけている。

【参考記事】
https://prtimes.jp/main/html/rd/p/000000252.000021207.html
https://www.sankei.com/article/20231129-UNCBQSNPJZGP7DE3YT2YMRGM6E/