Quishing(クイッシング)とは?QRコードフィッシングの全て
悪意あるURLを画像に隠すことでメールフィルタを回避する、急増中の攻撃手法。
最終更新: 2026年
Quishing(クイッシング)は「QRフィッシング」の略で、サイバー犯罪の中で最も急成長している手法のひとつです。攻撃者は本物のQRコード(パーキングメーター、飲食店メニュー、EV充電器)の上に偽のQRシールを貼ったり、メールでQRを送り付けたりします。スキャナーはタップするまで遷移先URLを表示しないため、被害が広がっています。本記事では、攻撃の仕組み、警戒すべきサイン、そして防御における静的QRの透明性の役割を解説します。
手順
クイッシングの仕組み
攻撃者はフィッシングサイト(偽のネットバンキングログインや偽の駐車場決済フォーム)に飛ばすQRを生成します。本物のQRの上に貼ったり、偽の請求書に印刷したり、メールで送付したりします。
メールフィルタを回避する理由
多くのメールセキュリティツールは本文内のURLをスキャンします。QRは画像にすぎないため、フィルタからURLは見えません。ユーザーは個人端末(多くは保護が手薄)でスキャンしてURLを「復号」してしまいます。
実際の事例
米国の駐車場メーターに貼られた偽QRシール、飲食店の偽チップQR、偽の配送通知メール、偽のEV充電器決済QRなどが2024〜2025年に報告されています。
警戒すべきサインを見抜く
古い面に新しく貼られたばかりのQRシール、想定外のメールに含まれるQR、ブランドと一致しないドメインに飛ぶQR、すぐログインを求めるQR — すべて危険信号です。
URLをプレビューするスキャナーアプリを使う
iOSカメラ、Googleレンズ、信頼できるスキャナーアプリは開く前にURLを表示します。必ず読みましょう。見慣れないドメインや、mをrnに見せるトリックがあればタップしないでください。
ビジネスは静的QRの透明性を活用する
自社のQRコードには、実ドメインを直接指す静的QRを優先しましょう。攻撃者がハイジャックできるリダイレクトが存在せず、セキュリティチームはサンプルを1枚スキャンするだけで遷移先を検証できます。
今すぐ試してみましょう
QRコードを作成 →ヒントとコツ
- ●従業員と顧客に、QRをタップする前にURLプレビューを必ず読む習慣を徹底しましょう。
- ●物理的なQR看板は、ラミネート加工や改ざん検知シートに印刷し、上から貼られたシールが分かるようにしましょう。
- ●自社が設置したQRコードを定期的にスキャンし、差し替えられていないか確認しましょう。
- ●静的QRは監査を圧倒的に簡単にします — URLは1つだけで、どのスキャナーでも可視化されます。