Help Net Securityによると、攻撃者がデザインを施したQRコードを悪用し、フィッシングサイトへと誘導する手口が増加しています。
QRコードを使ったフィッシング(クイッシング)は、URLが事前に表示されないため、もともと検知が困難な手法です。近年では、パターンに色や形状、ロゴを組み込んだものが使われるようになっています。
Help Net Securityは、次のように述べています。「細工されたQRコードは、検知をいっそう困難にします。それは、従来の白黒の格子状ではなく、中央にロゴが配置されたり、モジュール(QRコードを構成するマス)が丸みを帯びたりするなど、見た目が大きく変化しているためです。背景画像がQRコードと一体化しているケースもあります。こうした変更は、読み取り精度を維持しつつ、既存の検知ツールが前提としている構造上の想定を崩します。」
また同メディアは、ディーキン大学のレポートを引用し、デザイン性の高いQRコードは画像と白黒のコードを合成して作成されるため、モジュールが人の目ではほとんど判別できないという研究者の指摘を紹介しています。
クイッシングが厄介なのは、多くの場合私用スマートフォンで読み取られ、勤務先が業務用PCに導入しているセキュリティ対策を回避されやすい点です。さらに、QRコードが公共の場にステッカーとして貼られているケースもあります。
NordVPNのデータによると、米国では73%の人がリンク先を確認せずにQRコードを読み取っており、これまでに2,600万人以上がフィッシングサイトへ誘導された経験があるといいます。
さらに2025年には、米連邦取引委員会(FTC)が「心当たりのない荷物に貼られたQRコードは不審なものとして扱うべきだ」と注意を促しています。ニューヨーク市運輸局(NYC DOT)も、駐車メーターに不正なQRコードが貼られている事例を受け、同様の警告を出しています。
AIを活用したKnowBe4のセキュリティ意識向上トレーニングは、フィッシング攻撃から組織を守るための不可欠な防御層となります。KnowBe4は、従業員一人ひとりが日々の業務において、より的確なセキュリティ判断を下せるよう支援します。世界で7万社を超える企業や団体がKnowBe4のHRM+プラットフォームを信頼し、セキュリティ文化の醸成とヒューマンリスクの低減を実現しています。
詳細については、Help Net Securityの記事を参照してください。
原典:KnowBe4 Team著 2026年1月23日発信 https://blog.knowbe4.com/warning-fancy-qr-codes-are-making-quishing-more-dangerous