フィッシング対策協議会が公表した「フィッシングレポート2025」では、URLの代わりにQRコードを用いて偽サイトへ誘導する手口が取り上げられています。これは「Quishing(クイッシング)」と呼ばれ、受信者にQRコードを読み取らせることでフィッシングサイトにアクセスさせる仕組みです。
迷惑メールフィルターによってURLの検出・ブロックが強化される中、攻撃者はこの対策を回避する手段として、QRコードを悪用しています。最近では、画像だけでなく、HTMLやASCII文字で生成されたQRコードも確認されており、検出をすり抜ける工夫が見られます。
QRコードは一見しただけでは内容が分からないため、無意識に読み取ってしまい、結果として偽サイトへアクセスしてしまう危険性があります。そのため、業務・私用を問わず、QRコードを扱う際には「送信元を確認する」「焦らず内容を確かめる」といった基本的な行動を意識することが重要です。また、企業においても、従業員がこうした手口に気づき、適切に対応できるよう、セキュリティ教育や社内体制の整備を進めることが求められます。
【引用】
*QRコードはデンソーウェーブの登録商標です。
