FBIは1月9日、北朝鮮の国家支援型脅威グループ「Kimsuky」がQRコードを使用したフィッシング攻撃を実施していると警告した。攻撃対象は米国および外国政府機関、シンクタンク、学術機関である。
2025年5月と6月に複数の事件が発生し、ある事例ではKimsukiアクターが外国人顧問を装い、朝鮮半島の地政学的発展に関する質問票と称してシンクタンク責任者に悪意のあるQRコードを送信した。別の事例では戦略アドバイザリー企業の従業員を偽の会議に招待し、会議登録ページを装った偽のGoogleログインページへ誘導した。FBIはクイッシング攻撃がセッショントークンを窃取し、多要素認証をバイパスすると指摘している。
また、2025年夏にBarracudaが「Gabagool」というフィッシング・アズ・ア・サービス・キットがQRコードを2つの画像に分割する技術を使用していることを発見した。
From: 
FBI Flags Quishing Attacks From North Korean APT
【編集部解説】
今回FBIが警告したクイッシング攻撃は、サイバーセキュリティの根本的な盲点を突いた手法です。最大の特徴は、多要素認証(MFA)という「最後の砦」を無効化できる点にあります。
従来のフィッシング攻撃では、たとえパスワードを盗まれてもMFAが防壁となっていました。しかし、クイッシングではセッショントークンそのものを窃取します。セッショントークンとは、一度認証が完了した後にシステムが発行する「入場済み証明書」のようなもので、これを手に入れれば認証プロセスを丸ごとスキップできてしまうのです。
さらに厄介なのは、この攻撃がモバイルデバイスを経由する点でしょう。企業が導入しているエンドポイント検知・応答(EDR)システムは、通常、社内のPCやサーバーを監視対象としています。しかし、従業員の私物スマートフォンや管理外のタブレットは監視範囲外です。
QRコードをスキャンする瞬間、ユーザーは企業のセキュリティ網の外側に立っています。メールセキュリティシステムはQRコード内のURLを検査できず、ネットワークログにもクリックの痕跡が残りません。攻撃者にとって、これ以上ない「見えない侵入経路」となっているわけです。
統計データも警戒すべき傾向を示しています。2023年にクイッシング事件は前年比587%増加し、2024年には全フィッシング攻撃の12%がQRコードを含むようになりました。2025年には前年比25%増のペースで増加しており、QRコードスキャン総数も世界で4,177万件と4倍に膨れ上がっています。
北朝鮮のKimsukiグループは地政学的な情報収集を目的としていますが、Barracudaが発見した「Gabagool」のような商用フィッシングキットの存在は、この手法が犯罪組織にも広がりつつあることを示唆します。QRコードを2つの画像に分割する技術は、セキュリティスキャナーを欺くために設計されており、技術の巧妙化が進んでいることがわかります。
企業にとって、モバイルセキュリティの盲点は喫緊の課題となりました。BYOD(私物デバイスの業務利用)が一般化した現在、従業員教育とモバイル専用のセキュリティ対策が不可欠です。QRコードという「便利さ」が、同時に「脆弱性」にもなり得る時代を、私たちは生きています。
【用語解説】
Kimsuky(キムスキー)
北朝鮮政府が支援する国家支援型脅威グループ(APT)。2012年頃から活動が確認されており、主に韓国、米国、日本の政府機関、シンクタンク、学術機関を標的としている。地政学的情報や外交政策に関する情報収集を目的とした諜報活動を展開する。
クイッシング(Quishing)
QRコード(QR Code)とフィッシング(Phishing)を組み合わせた造語。メールに悪意のあるQRコードを埋め込み、スキャンした被害者を偽のログインページに誘導して認証情報を盗む攻撃手法である。従来のURLベースのフィッシングと異なり、メールセキュリティシステムがQRコード内のリンクを検査できない点が特徴だ。
セッショントークン
ユーザーがシステムにログインした後、認証済みであることを証明するためにサーバーが発行する一時的な識別子。このトークンを持つことで、再度パスワード入力やMFA認証をせずにシステムにアクセスできる。攻撃者がこれを窃取すると、正規ユーザーになりすましてシステムに侵入できる。
エンドポイント検知・応答(EDR)
Endpoint Detection and Responseの略。企業のPC、サーバー、ネットワーク機器などのエンドポイントを常時監視し、不審な挙動を検知して対応するセキュリティシステム。ただし、従業員の私物スマートフォンやタブレットなど管理外デバイスは監視範囲に含まれないことが多い。
BYOD
Bring Your Own Deviceの略。従業員が個人所有のスマートフォン、タブレット、ノートPCなどを業務に利用すること。利便性が高い反面、企業のセキュリティポリシーが適用されにくく、今回のようなモバイル経由の攻撃に対して脆弱性を生む要因となる。
【参考リンク】
FBI Internet Crime Complaint Center (IC3)(外部)
FBIが運営するサイバー犯罪通報センター。今回のKimsukiに関するフラッシュアラートを含む最新のサイバーセキュリティ警告を公開している。
Barracuda Networks(外部)
メールセキュリティ、ネットワークセキュリティを提供する米国企業。2025年夏にGabagoolフィッシングキットによる分割QRコード攻撃を発見した。
【参考記事】
FBI Warns North Korean Hackers Using Malicious QR Codes in Spear-Phishing Attacks(外部)
FBIの警告を詳細に報じた記事。Kimsukyグループの攻撃事例とセッショントークン窃取によるMFAバイパスの技術的メカニズムを解説。
FBI warns about Kimsuky hackers using QR codes to phish U.S. orgs(外部)
BleepingComputerによる技術的分析記事。Kimsukyの攻撃手法がモバイルデバイス経由で企業のEDRシステムを回避できる仕組みを詳述。
Session Token Theft: A Growing Threat to Modern Authentication(外部)
セッショントークン窃取攻撃の技術的詳細を解説。MFAが導入されていてもトークンリプレイ攻撃によって認証を突破できる理由を論じる。
QR Code Phishing: The Sneaky Attack That Bypasses Your Defenses(外部)
クイッシング攻撃がメールセキュリティシステムを回避できる技術的理由を解説。QRコード内のURLがスキャン時まで解読されない問題を指摘。
QR Phishing Statistics: Quishing Trends (Updated Sep 2025)(外部)
クイッシング攻撃の統計データを提供。2023年の前年比587%増、2024年に全フィッシング攻撃の12%がQRコードを含むことを報告。
Barracuda: Split, Nested QR Codes Dodge Detection(外部)
Barracudaが発見したGabagoolフィッシングキットの分割QRコード技術を解説。QRコードを2つの画像に分ける手法の詳細を報じる。
【編集部後記】
QRコードをスキャンする前に、送信元を確認する習慣はお持ちでしょうか。コンビニ決済やイベント受付で当たり前になったQRコードが、今や攻撃の入口になっています。特に業務メールで届いたQRコードには注意が必要です。
みなさんの職場では、私物スマートフォンでのQRコードスキャンについて、何かルールが設けられているでしょうか。もしまだであれば、セキュリティチームと一緒に対策を考えるタイミングかもしれません。ぜひ、職場での会話のきっかけにしていただければと思います。
