アンチフィッシング・ワーキンググループ(APWG)は2025年7月3日、2024年10月から2025年3月までの6か月間における悪意のあるQRコードを使用したフィッシング攻撃の分析結果を発表した。
APWGメンバーであるメールセキュリティ企業Mimecastは、この期間中に170万個の悪意のあるQRコードを検出し、QRコード付きメールを1日平均270万通検出した。攻撃者は被害者をフィッシングサイトやブランド偽装ページに誘導するQRコードを含むメールを毎日数百万通送信している。
業界別では小売・卸売業界に148,596個、製造業に132,242個、建設業界に123,322個の悪意のあるQRコードが送信された。Mastercardが最も標的にされるブランドとなっている。APWGは2025年第1四半期に1,003,924件のフィッシング攻撃を観測し、これは2023年第4四半期の107万件以来最大の件数である。
From: 
Criminals Sending QR Codes in Phishing, Malware Campaigns
【編集部解説】
QRコードを悪用したフィッシング攻撃「クイッシング」が、2025年に入って急激に拡大している背景には、従来のセキュリティ対策の盲点を突いた巧妙な手法があります。この現象は単なる技術的な問題を超えて、デジタル社会の構造的な脆弱性を浮き彫りにしています。
従来のセキュリティ対策が通用しない理由
QRコードフィッシングが急増している最大の理由は、既存のメールセキュリティシステムが画像形式のQRコードを解析できないことにあります。従来のフィルタリング技術は、メール本文中のURLやリンクを検出して悪意のあるサイトへのアクセスを防いでいました。しかし、QRコードは単なる白黒の画像として認識されるため、その中に埋め込まれた悪意のあるURLを事前に検出することは困難です。
さらに、QRコードをスキャンする行為の多くがスマートフォンで行われるため、企業のセキュリティ管理下にないデバイスで攻撃が実行される点も問題を複雑化させています。
日本が世界最大の標的となっている現実
2025年4月の調査では、世界の詐欺メールの83.6%が日本人を標的としたものであることが判明しており、日本がサイバー犯罪の主要なターゲットとなっています。生成AIの精度向上により、これまで障壁となっていた言語の壁がなくなり、より巧妙な日本語の偽メールを作成することが可能になったことが背景にあります。
国内のフィッシング詐欺報告件数も2024年に171万8,036件と過去最多を記録し、前年の約1.4倍に急増しています。
攻撃手法の巧妙化と地域別標的化
2025年の特徴として、地域別の標的化戦略が挙げられます。Mimecastの分析によると、アジア太平洋地域では銀行を標的とした攻撃、ヨーロッパでは決済処理業者と政府サービス、北米では企業クラウドサービスと金融プラットフォームを狙った攻撃が多く観測されています。
この地域別戦略は、攻撃者が各地域の文化的背景やデジタル利用習慣を理解し、より効果的な攻撃を仕掛けていることを示しています。
業界横断的な影響と経済的インパクト
今回のAPWGの調査で注目すべきは、特定の業界に偏らず、小売・製造・建設業界に均等に攻撃が分散していることです。これは、QRコードが業界を問わず広く普及していることの裏返しでもあります。
特に小売業界では、AmazonやWalmartなどのモバイルアプリを通じた消費者アクセスが日常化しており、QRコードによる情報伝達が広く採用されているため、攻撃者にとって魅力的なターゲットとなっています。
BEC攻撃の増加と金銭的被害の拡大
QRコードフィッシングと並行して、電信送金を狙ったBEC(ビジネスメール詐欺)攻撃も2025年第1四半期に33%増加しています。平均被害額は42,236ドルと前四半期の128,980ドルから67%減少したものの、攻撃件数の増加により総被害額は拡大傾向にあります。
技術的対策の限界と新たなアプローチの必要性
現在のセキュリティ技術では、QRコード内のURLを事前に検証する仕組みが十分に普及していません。多くの組織では、従来のメールフィルタリングに依存しているため、QRコード経由の攻撃に対して無防備な状態が続いています。
この問題を解決するには、QRコード専用の検証技術の開発と導入が急務となっています。また、ユーザー教育の重要性も高まっており、QRコードをスキャンする前にURLの確認を習慣化する必要があります。
規制と業界標準への影響
QRコードフィッシングの急増は、既存のサイバーセキュリティ規制の見直しを促す可能性があります。特に、金融業界や個人情報を扱う事業者に対しては、QRコード関連のセキュリティ対策を義務化する動きが出てくることが予想されます。
また、QRコード生成サービス事業者に対しても、悪意のある利用を防ぐための監視体制強化が求められるでしょう。
長期的な視点での対策の方向性
QRコードフィッシングの根本的な解決には、技術的対策だけでなく、社会全体のデジタルリテラシー向上が不可欠です。特に、QRコードの利便性と危険性のバランスを理解し、適切な判断ができる人材の育成が重要になります。
また、AI技術の発展により攻撃手法がさらに巧妙化することが予想されるため、防御側もAIを活用した検出技術の開発を加速させる必要があります。この技術競争は、今後数年間にわたって続くことが予想され、サイバーセキュリティ業界の重要な成長分野となるでしょう。
【用語解説】
クイッシング(Quishing)
QRコード(QR Code)とフィッシング(Phishing)を組み合わせた造語である。QRコードを悪用してユーザーを悪意のあるWebサイトに誘導し、個人情報やクレジットカード情報を窃取するサイバー攻撃手法だ。従来のメールフィルタリングでは画像形式のQRコードを検出できないため、新たな脅威として注目されている。
フィッシング攻撃
実在する企業や金融機関を装った偽のメールやWebサイトを使用して、ユーザーから個人情報、パスワード、クレジットカード情報などを騙し取るサイバー犯罪の手法である。近年はAI技術の発達により、より巧妙で自然な偽装が可能になっている。
スミッシング
SMS(ショートメッセージサービス)を利用したフィッシング攻撃の手法である。2024年第3四半期には前四半期から22%以上増加し、QRコード付きメールと並んで急増している攻撃手法だ。
BEC攻撃(ビジネスメール詐欺)
企業の経営者や財務担当者になりすまして、従業員を騙して不正な送金を実行させるサイバー犯罪の手法である。2025年第1四半期には前四半期比で33%増加している。
URL短縮サービス
長いURLを短く変換するサービスで、QRコードに埋め込みやすくするために悪用されることがある。攻撃者は短縮URLを使用して最終的な悪意のあるサイトのURLを隠蔽し、検出を回避する手法として利用している。
【参考リンク】
Anti-Phishing Working Group(APWG)(外部)フィッシング対策に取り組む国際的な非営利団体で、大手IT企業、金融機関、セキュリティベンダー、政府機関が加盟している。
Mimecast(外部)
企業向けメールセキュリティとヒューマンリスク管理を提供するクラウドベースのSaaSベンダー。
フィッシング対策協議会(外部)
2005年4月に設立された日本のフィッシング対策組織で、フィッシング詐欺に関する事例情報、資料、ニュースなどの収集・提供を行っている。
Mastercard(外部)
グローバル金融ネットワークを運営する国際的な企業で、クイッシング攻撃で最も標的にされるブランドとなっている。
【参考動画】
Mastercardの公式YouTubeチャンネルによる動画で、コンタクトレス決済機能の利便性と安全性について説明している。QRコード決済の普及背景を理解するのに参考になる。
Mimecastの公式YouTubeチャンネルによる企業紹介動画で、同社の企業文化とサイバーセキュリティへの取り組みについて説明している。
【参考記事】
フィッシングレポート 2025 – フィッシング対策協議会(外部)
2024年の国内フィッシング詐欺報告件数が171万8,036件と過去最多を記録したことを報告。
APWG Q1 Report: Rising Waves of QR-Code Attacks(外部)
APWGの2025年第1四半期レポートで、QRコード攻撃の地域別標的化戦略とBEC攻撃の33%増加について分析。
犯罪者がフィッシングやマルウェアキャンペーンでQRコードを送信 – Black Hat News(外部)
元記事の日本語翻訳版で、APWGとMimecastの共同調査結果について詳しく解説している。
【編集部後記】
QRコードを日常的に使っている私たちにとって、今回の「クイッシング」という新しい脅威は決して他人事ではありません。皆さんは最近、メールで届いたQRコードをスキャンしたことはありますか?その時、どんな点を確認されましたか?
特に注目したいのは、日本が世界の詐欺メールの83.6%の標的となっているという事実です。私たちinnovaTopia編集部も、この数字の深刻さを受け止め、読者の皆さんと一緒に対策を考えていきたいと思っています。
技術の進歩は常に両刃の剣です。QRコードの利便性を享受しながら、どのようにセキュリティを確保していくべきでしょうか?読者の皆さんの体験や対策方法をぜひ教えてください。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
