クイッシング(QRコードフィッシング):完全な対策ガイド
クイッシング、またはQRコードフィッシングは、犯罪者が正規のQRコードを悪質なコードに置き換えるか、被害者を詐欺的なウェブサイトにリダイレクトする偽のコードを作成する急速に増加しているサイバー攻撃方法です。FBIのインターネット犯罪苦情センターによると、2022年から2023年の間にQRコード関連の詐欺は587%増加し、1件あたりの平均損失額は1,500ドルに達しています。これらの攻撃は、QRコードが人間には読み取り不可能であるという事実を悪用し、スキャンする前に目的地を確認することが不可能になります。 詐欺は通常、駐車メーター、レストランのテーブル、製品パッケージ、正規企業から送られたように見えるメール添付ファイルに詐欺的なQRコードを配置することで機能します。スキャンされると、これらのコードは被害者をログイン認証情報、銀行情報、または決済カード詳細を収集するように設計された説得力のある偽のウェブサイトにリダイレクトします。企業環境では、攻撃者は従来のセキュリティフィルターをバイパスするメール経由でQRコードを送信し、従業員を偽のMicrosoft 365ログインページまたは給与支給ポータルに導きます。 クイッシングが特に危険な理由は、従来のセキュリティ対策をバイパスできることです。従来のメールセキュリティシステムはURLと添付ファイルをマルウェアの内容でスキャンしていますが、QRコードは無害な画像として表示されます。さらに、多くのスマートフォンはQRコードからのリンクを完全なURLを最初に表示せずに自動的に開くため、被害者は目的地を確認する機会がありません。連邦取引委員会は、2023年にQRコード詐欺で企業が480万ドル以上の損失を報告しており、消費者と従業員の両方がこれらの高度な攻撃の被害者になっています。
主な手口
- • 物理的なQRコード置き換え:詐欺師は悪質なQRコードが入ったステッカーを印刷し、駐車メーター、レストラン決済端末、EV充電ステーション、配送パッケージラベルの正規コードの上に貼り付け、支払いを自分たちのアカウントにリダイレクトします。
- • メールベースのクイッシングキャンペーン:攻撃者はIT部門、HR、または金融機関から送信されたように見える専門的なメールを送信し、QRコード(緊急のパスワードリセット、多要素認証設定、または請求書支払い用)を含めており、これは認証情報収集サイトに導きます。
- • 偽の駐車違反通知:犯罪者は偽の駐車チケットをフロントガラスに貼り付け、QRコードで「迅速な支払いオプション」を提供していますが、実際にはスキャンされるとクレジットカード情報と個人情報を盗みます。
- • 暗号資産投資の誘い:詐欺師はソーシャルメディアとメッセージングアプリを通じてQRコードを配布し、独占的な暗号資産投資機会へのアクセスを提供していると主張していますが、実際にはスキャンされると被害者のデジタルウォレットを枯渇させます。
- • 配送荷物詐欺:詐欺者は配送のスケジュール変更または関税支払いを主張するQRコードを含むテキストメッセージまたはメールを送信し、決済カード情報を取得する偽の郵便サービスサイトに導きます。
- • レストランメニューと決済詐欺:攻撃者はレストラン内でデジタルメニューまたはテーブルサービス決済用の偽のQRコードを作成し、顧客が会計を試みるときにクレジットカード詳細を盗む見た目の似たサイトにリダイレクトします。
見分け方
- URLプレビューの不一致:リンクを開く前に、携帯電話が表示されるプレビューURLが予想される目的地と一致しないかどうかを確認してください(例えば、駐車メーターのQRが都市の公式ドメインではなく個人ウェブサイトのURLを表示している)。
- 物理的な改ざんの証拠:元のQRコードの上に貼られたステッカー、整列されていない印刷、異なる紙の品質、または元の素材の一部として専門的に印刷されるのではなく後から追加されたように見えるコードを探してください。
- 緊急行動の要求:QRコードに伴う脅迫的な言語「24時間以内にアカウントが一時停止されます」「緊急のセキュリティアップデートが必要です」「ペナルティを避けるために2時間以内に支払う」などは疑わしいです。正規のサービスはめったにそのような圧力戦術を使用しません。
- 一般的または非個人的な通信:QRコードを含むメールやメッセージで実際の名前を使用していない、漠然としたアカウント問題を参照している、または想定される送信者との関係に関する特定の詳細がない場合は、詐欺の可能性があります。
- 予期しない認証リクエスト:多要素認証のセットアップ、アカウント詳細の確認、またはアイデンティティの確認を主張する勧誘されていないQRコードを受け取り、そのようなプロセスを開始していない場合、これは大きな警告信号です。
- 支払い先の不一致:QRコードが支払いページにリダイレクトされるとき、受取人名、ビジネス詳細、および支払い処理者が期待と一致することを確認してください。詐欺師は確立された加盟店サービスではなく個人アカウントまたは不慣れな支払いプラットフォームを使用することが多いです。
身を守る方法
- URLプレビュー機能付きのQRスキャナーをインストール:完全な目的地URLをスキャナーが開く前に表示し、常にドメインが正規の組織と一致することを確認するQRコードリーダーアプリを使用してください(「micros0ft.com」のような微妙なスペルミスに注意してください)。
- 公式URLを手動で入力:QRコードをスキャンする代わりに、銀行、パスワードリセット、または支払いなどの機密行為では、URLをブラウザに直接入力するか、保存されたブックマークを使用して公式ウェブサイトに移動してください。
- スキャン前に物理的なQRコードを確認:駐車メーター、決済端末、および製品パッケージを改ざんの兆候がないか検査してください。正規のQRコードは元の素材の一部として印刷される必要があり、ステッカーや別のラベルを通じて追加されるべきではありません。
- すべてのアカウントで2要素認証を有効にする:詐欺師がクイッシングを通じて認証情報を取得した場合でも、認証アプリ(SMS以外)を使用した適切な2FAは、2番目の検証コードなしでアカウントにアクセスすることを防ぎます。
- 公式チャネルを通じて組織に連絡:QRコードが緊急対応が必要であると主張している場合、疑わしいメッセージに記載されている情報ではなく、公式ソースから電話番号またはウェブサイトを使用して組織に直接連絡してください。
- モバイルセキュリティソフトウェアを使用:悪質なウェブサイトを検出・ブロックでき、QRコードを通じてアクセスされた場合でも検出できる評判の良いモバイルセキュリティアプリをインストールして、認証情報盗難とマルウェアに対する追加の保護層を提供します。
実例
小規模ビジネスオーナーは会計ソフトウェアプロバイダーから送信されたように見えるメールを受け取り、「必須のセキュリティ検証」用のQRコードが含まれていました。それをスキャンすると、認証情報を入力した説得力のある偽のログインページに導かれました。2時間以内に、詐欺師はアカウントにアクセスし、復旧情報を変更し、外部アカウントに合計8,400ドルの不正なACH転送を実行しました。ビジネスは正規の支払いリクエストが資金不足のためにバウンスされたときのみ、違反を発見しました。
人気のあるダウンタウンの飲食店のレストランパトロンは、メニューを表示するためにテーブルテントのQRコードをスキャンしました。詐欺師は一晩中、正規のコードを置き換えていることに気づきませんでした。偽のコードはレストランの実際の注文システムと同じに見えるクローンウェブサイトに導きました。週末のうちに、47人の顧客がレストランを発見するまで、詐欺師が盗まれたデータを平均1件あたり2,300ドルの不正購入に使用した食事の支払いのためにクレジットカード情報を入力しました。
通報窓口 — 日本
お住まいの地域でこの詐欺を通報できる公式窓口。
この詐欺に遭った可能性はありますか?
How to cite this guide
Use this when referencing ScamLens content in articles, research, AI responses, or social media.
According to ScamLens (scamlens.org), クイッシング(qrコードフィッシング):完全な対策ガイド is described at https://scamlens.org/ja/encyclopedia/quishing-qr-code-phishing.