クイッシングとは? QRコードを使ったフィッシング詐欺の事例

特集記事

QRコード※1を悪用したフィッシング詐欺をご存知ですか? 
二次元バーコード(QRコード)を読み取ったユーザーをフィッシングサイトに誘導し、個人情報やクレジットカード情報などを入力させるもので、「クイッシング」とも呼ばれています。

アクセス先のURLがメールやSMSの本文中に記載されている場合は、URLの見た目で怪しいと判断できるケースもあります。(注意:URLの見た目が正しくても安全とは限りません)しかし、QRコードの場合は見た目ではリンク先のURLの危険性を判断できず、また本文中に画像で挿入されているために迷惑メールフィルタ機能が「正常なメール」と判断してしまう可能性があります。サイトの内容を確認するためには実際にそのQRコードを読み取らなくてはならないため、従来のフィッシング攻撃と比較して対策が難しい状況です。

クイッシングの事例

事例1:メールを利用したクイッシング

フィッシングメールでQRコードが送られてくる手口が多く確認されています。 メールにはURLの代わりにQRコードが載っており、「このQRコードからサイトにアクセスして認証情報を入力してください」といった文章でユーザーにサイトへのアクセスを促します。QRコードを読み込んだユーザーは個人情報を入力させるための偽サイト(フィッシングサイト)に誘導されてしまいます。

事例2:チラシやポスターを介したクイッシング

チラシやダイレクトメール(DM)といった紙媒体にQRコードが記載されたクイッシングの事例も出ています。2023年には福岡市内で架空のデリバリー焼肉弁当店のチラシが自宅のポストに投函され、チラシに記載された注文用のQRコードを読み込んで表示されたフィッシングサイトにクレジットカード番号を入力してしまうという詐欺被害がありました。このようなサイトにカード番号などの情報を入力してしまった場合、悪用されて金銭被害に遭う可能性があります。

参考:チラシに「焼肉弁当100円」 QRコード読み取り決済したら..."詐欺"だった 福岡市で被害相次ぐ

https://news.tnc.co.jp/news/articles/NID2023122219929

また犯罪者が正規のチラシやポスターに偽サイトのQRコードのシールを張り付けて、公式のサイトを装ってフィッシングサイトに誘導するといった手口も考えられます。

事例3:実在の企業から送られてきたのにフィッシングサイトに?

実在する企業や組織が発行した冊子やダイレクトメールなのに、その中のQRコードがフィッシングサイトに繋がっていた、という事例も報告されています。メールを送信した企業や組織がフィッシングサイトに誘導しようと意図したのではなく、QRコードのリンク先として利用した短縮URLサービスに原因があると考えられています。短縮URLのサービスによっては転送先に遷移する前に広告を表示するものがあり、その広告で表示されたサイトが不正なサイトであった可能性があります。

参考:原因は「短縮URL」か? QRコードから不正サイトへ誘導される事例が相次ぐ オートバックスセブン、学習院大学も

https://www.itmedia.co.jp/news/articles/2311/15/news194.html

事例4:背後から決済画面を盗撮される

スムーズな支払いのために、レジ等で並んでいるうちに決済用のコードを準備しておく人が多いかと思います。しかしその際にスマホに表示されたコードを背後から盗撮される事例も確認されています。
盗撮されたコードは別の決済に不正利用される可能性が高く、気づかないうちに他人が買ったものを支払っている、ということも。QRコードを表示させる際は周囲を確認し、また人の多いところで長時間表示するのは避けましょう。

まとめ

近年ではキャッシュレス決済の普及によってQRコードがより身近になり、利用者が疑うことなく読み込んでしまう傾向があります。
QRコードを読み込む際はメールやチラシに不審な点がないかよく確認し、遷移先のサイトでの個人情報の入力や支払いには十分注意しましょう。

※1「QRコード」は、株式会社デンソーウェーブの登録商標です。