メールセキュリティ製品を導入しているからといって、安心とは限らない。QRコードを悪用したフィッシング攻撃は、従来のメールゲートウェイが前提としてきた検査方法をすり抜ける可能性があるという。どう対策をすればいいか。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Acronisは2026年4月17日(現地時間)、QRコードを悪用したフィッシング攻撃が、従来型のメールセキュリティ製品が前提としてきた検査方式の限界を突いていると解説した。
攻撃者は悪性URLをQRコード画像に埋め込み、電子メール本文や添付ファイルとして送信する。受信者がスマートフォンで読み取ると、認証情報を盗む偽のWebサイトや不正プログラムの配布先に誘導される。企業が管理するPCではなく、私物スマートフォンに攻撃経路が移る点も、従来のリンク型フィッシングとは異なる特徴だという。
従来型のセキュアメールゲートウェイは、メールヘッダや本文、HTML、本文中のURLを解析することを前提に設計されている。一方、悪性URLがQRコード画像に埋め込まれている場合、本文中に解析対象となる文字列が存在しないため、画像ファイルとしてそのまま通過してしまう可能性がある。
Acronisは、この問題は設定ミスやシグネチャ不足ではなく、従来のメール防御が抱える構造的な制約だと指摘した。
QRコードを適切に判定するには、画像からQRコードを検出・復号した上で、抽出したURLの評価や遷移先ページの動的解析まで実行する必要がある。URLのブロックリストやレピュテーション情報だけでは、画像内に隠された攻撃を十分に見抜けないという。
QRコードを悪用したフィッシングは増加傾向にある。Anti-Phishing Working Groupは、2025年に向けて画像を悪用したフィッシング攻撃が約400%増加したと報告した。Keepnet LabsとSupercodeは、フィッシング全体の約12%で画像を利用した手法が確認されたとしている。また、ZenSecは2025年に添付ファイル内から約170万件の悪性QRコードを検出し、「Microsoft Digital Defense Report」は教育機関を狙ったQRコード付きフィッシングメールが1日当たり1万5000件を超えたと報告した。
利用者の行動も攻撃を後押ししている。KnowBe4とNordVPNの調査では、73%の利用者がリンク先を確認せずにQRコードを読み取ると回答した。飲食店のメニューや駐車場の精算、イベント受付などでQRコードの利用が日常化したことで、利用者の警戒心が薄れ、その習慣が電子メール攻撃にも悪用されているとAcronisは分析している。
QRコード攻撃のもう一つの特徴は、攻撃経路が企業管理端末から私物スマートフォンに移る点だ。従業員が勤務用PCでメールを開き、表示されたQRコードを私物スマートフォンで読み取ると、その後の通信は企業の端末保護やWebプロキシ、DNSフィルタリング、データ漏えい防止(DLP)などの監視対象外で進行する。偽のWebサイトに認証情報を入力すれば、攻撃者は企業アカウントにアクセスするための資格情報を取得できる。
攻撃者の手法も高度化している。企業ロゴを組み込んだQRコードや、形状や配色を変えたQRコードの他、「ASCII」文字や「Unicode」文字を利用したQRコード、ブラウザ内部で一時的に生成される「Blob URI」、アプリ内リンク、画像を分割して埋め込む手法、「multipart MIME」構造の悪用、短縮URLやクラウドサービスを経由したリダイレクトなど、多様な回避手法が確認されている。これらは、人の目による確認や一般的な画像解析を回避することを目的としている。
Acronisは、こうした攻撃によってIT管理者やMSP(マネージドサービスプロバイダー)では、不審メールの調査件数の増加や認証情報漏えいへの対応、既存の検知指標への過信、監査時の説明負担などが課題になると指摘する。画像型のQRコード攻撃が受信箱へ届く場合、検知率が低いというよりも、そもそも検知対象として認識されていない脅威が残っている可能性があるという。
Acronisは、QRコードを悪用したフィッシングは単なる新たな攻撃手法ではなく、文字列解析を前提としてきた従来のメール防御の限界を浮き彫りにするものだと位置付ける。今後は、画像内のQRコードを解析し、復号後のURLや遷移先まで受信前に評価する仕組みを組み込むだけでなく、従来型メールゲートウェイの設計思想そのものを見直すことが求められるとしている。
KDDIの最大1422万件の情報漏えい事件 その裏には陸自USB問題と同様に中国の影?
「人間がボトルネック」になる日は近い? AI時代のサイバー攻防を読み解く4シナリオ
「ランサムウェア」侵入手順を徹底解説 もう知ったかぶりからは卒業しよう
悪用成功率99%、Linuxカーネルに新ゼロデイ「Bad Epoll」が見つかる
パスキー神話崩壊 Google Password Managerの同期機能を狙う新攻撃手法Copyright © ITmedia, Inc. All Rights Reserved.
編集部からのお知らせ