クイッシングとは？QRコードフィッシングの危険性と対策方法を徹底解説

クイッシングとは何か

QRコードを使って、URL の可視性を消したまま誘導する手口です

クイッシングは、QR コードを使ったフィッシング詐欺です。メール本文、請求書、ポスター、名刺、チャット、PDF などに QR コードを置き、利用者に読み取らせることで、URL を直接見ないままログイン画面や支払導線へ進ませます。見た目がきれいな案内や正規の紙面に見えるほど、利用者は疑いにくくなります。

Microsoft はMicrosoft による QR コードフィッシング対策の解説↗で、メールに埋め込まれた QR コード経由の誘導が増えていることを整理しています。つまり、クイッシングは QR の利便性を使って、確認前に次の画面へ進ませる攻撃と考えるべきです。

スミッシングとの違いは、SMS ではなく QR が URL 確認を消す点です

全体整理記事として位置付けたフィッシング対策の記事から一段下げて見ると、クイッシングの主役は「QR によって URL の確認が抜けること」です。これはスミッシングのように SMS の短さや個人端末での即時判断を主役にする記事とは、媒介も盲点も異なります。

SMS は短い文面で急がせますが、クイッシングは「見た目が正規に見える紙面や案内」からスマートフォンを使わせることで、利用者に安心感を与えます。読み取った後に表示された URL を確認する習慣がなければ、そのまま偽サイトへ進みやすくなります。

紙面、店頭、イベント、PDF のような『正規に見える場所』ほど危険です

クイッシングが厄介なのは、QR コードが普段から正規の用途で使われていることです。来訪登録、注文、決済、アンケート、会員登録、資料ダウンロードなど、日常業務にも接客にも自然に入り込んでいます。そのため、利用者はQR を読み取る行為そのものを危険だと思いにくいです。

Microsoft のよくある QR コード詐欺の整理↗でも、偽の案内や不自然な QR 誘導への注意が示されています。つまり、クイッシング対策では「QR は便利なもの」という前提を崩さずに、読み取った後の確認をどう標準化するかが重要です。

なぜ成立するのか、どこが盲点になるのか

本当に危ないのは、QR を読んだ後に URL を見ないことです

クイッシングが成立する理由は、QR コード自体が危険だからではありません。読み取った後の URL を見ないまま進みやすいことが本質です。メールならリンク先を見ようとする人でも、QR を読むと「正規サイトへ飛ぶはずだ」と思って、そのままログインや支払へ進んでしまいやすくなります。

CISA のPhishing Guidance - Stopping the Attack Cycle at Phase One↗は、フィッシングを入口段階で止める考え方を示しています。クイッシングにも同じ考え方が当てはまり、「QR を読む前」ではなく「読んだ後にどこへ戻るか」を決める必要があります。

認証やセッションの弱さがあると、QR 誘導は入口以上の被害になります

偽の QR 誘導で本当に危ないのは、そこから認証情報、決済情報、回復コード、セッション状態まで取られることです。ログイン情報が取られた後に多要素認証の例外や弱い回復フローがあると、被害は QR の入口より先で大きくなります。

そのため、MFA未適用アカウントやOkta のセッション悪用事例は、クイッシングとも地続きです。入口は QR でも、被害が広がるのは認証と回復の設計に弱点がある時です。

正規の案内ページが多いほど、偽 QR はもっともらしく見えます

QR を使う案内は便利ですが、公開されたキャンペーンページ、古いログイン画面、残ったサポート導線、放置サブドメインが多いと、攻撃者は「本物らしい QR の誘導先」を作りやすくなります。これはメール本文の巧拙ではなく、公開導線の量と整理不足の問題です。

だから、クイッシング対策は QR の啓発だけで終わらせず、外部接続点の可視化やブランド悪用対策と一緒に見る必要があります。偽 QR の先にある公開導線を減らさない限り、再発しやすい構造が残ります。

企業で被害が大きくなる原因

企業で被害が大きくなるのは、QR の読み取り行為そのものより、正規導線と危険導線の境界が利用者にも運用担当にも見えにくいからです。店頭、受付、紙面、PDF、会員向けメール、チャットで同じ QR 文化が混ざると、どこまでが正規で、どこからが危険な例外かを説明しづらくなります。

一番危ないのは、QR を読むこと自体が『正しい行動』に見えることです

クイッシングで事故が起きる時、利用者は不審な行動をしているつもりがありません。案内に従って QR を読むことが、むしろ正しい手順に見えるからです。受付、支払、資料閲覧、会員登録など、普段から QR を使う場面ほど危険です。

そのため、企業としては「怪しい QR に注意してください」で終わらせず、どの業務で QR を使うのか、読み取った後は必ず何を確認するのか、QR では絶対に進めない処理は何かを決める必要があります。

入口対策と認証対策が切れていると、被害は後段で大きくなります

偽の QR 誘導で終わらないのは、そこから認証、支払、アカウント回復、共有ドライブ、サポート導線へつながるからです。入口対策だけ整えても、認証例外や弱い回復フローが残っていれば、被害は後段で大きくなります。

だから、クイッシング対策は QR の読み方の教育だけでは不十分です。認証の強さ、回復フロー、報告、掲示物の差し替え管理、公開導線管理まで同じ運用課題として持つ必要があります。

よくある QR 詐欺のパターンと見落としやすい場面

メールに QR を埋め込むと、通常の URL 点検をすり抜けやすくなります

Microsoft が 2024 年 11 月 4 日に公開した QR フィッシング対策の解説では、メール本文に QR を置くと、通常の URL 抽出やリンク確認では見えにくいまま利用者をモバイルへ移せる点が整理されています。利用者はパソコンでメールを開き、スマートフォンで QR を読み、別端末でそのまま処理してしまいやすくなります。

この構造だと、メール側の違和感に気付いても、最終的な入力や認証はスマートフォン側で行われます。企業がパソコン側のメール訓練だけに頼ると、実際の処理が行われる端末側の確認が抜けやすくなります。

紙面や店頭掲示の差し替えは、発見が遅れるほど被害が続きます

クイッシングは、ポスター、受付、イベント札、請求書同封物、配布資料のように、『置かれた後に長く残る媒体』と相性が良いです。メールなら削除で止まる場面でも、紙面や掲示物は誰かが撤去するまで残り続けます。

実務上は、怪しい QR を見つけたら「情報システムへ報告」だけで終わらせず、誰が現物を回収し、誰が正規導線へ差し替え、誰が利用者へ訂正文を出すかまで決めておく必要があります。ここが曖昧だと、同じ QR で複数人が続けて被害に遭うことがあります。

認証更新、支払、会員確認の QR は『見た目が正しい』ほど危険です

本当に危ないのは、不自然な QR より「いかにも本物らしい QR」です。会員向け通知、来訪登録、支払確認、アカウント更新のような用件は、利用者が手順だと思って読みやすく、読み取った後の URL 確認も飛びやすくなります。

そのため、重要な認証変更や支払処理を QR に依存させない原則は大きな意味があります。QR を使うなら案内までにとどめ、最終処理は公式アプリや既知の URL へ戻す設計の方が安全です。

PDF や印刷前データに残った古い QR も、長く事故の入口になります

現場で見落としやすいのは、過去の PDF、ダウンロード資料、展示会配布物の元データに古い QR が残ることです。Web 画面だけ直しても、古いファイルが外部共有され続けていれば、偽 QR や誤誘導の土台が残ります。

そのため、クイッシング対策は掲示物の回収だけでなく、ダウンロード可能な PDF と印刷元データの棚卸し まで含める必要があります。公開面と配布資料を別管理にすると、古い導線が温存されやすくなります。

しかも PDF は、取引先や代理店が手元に保存し続けることがあるため、公開ページを直しただけでは影響が残ります。配布済み資料の更新連絡 まで含めて考えないと、古い QR が長く再利用される恐れがあります。

FBI の最近の警告でも、QR は郵送物や標的型誘導へ広がっています

クイッシングが厄介なのは、メールだけの問題ではないことです。FBI は 2025 年 1 月の注意喚起で、QR コード入りの不審な郵送物を使う詐欺↗を使った詐欺や、支払・個人情報入力を誘う導線に注意を促しました。これは、QR が「郵送物なら本物らしい」「紙で届くなら安心」という心理を借りやすいことを示しています。

さらに FBI、NSA、韓国当局の 2026 年共同勧告北朝鮮系 Kimsuky による悪性 QR コードの標的型誘導↗でも、標的型の誘導で QR が使われたと整理されています。つまり、クイッシングは「雑な QR 詐欺」だけではなく、本物らしい文脈に QR を混ぜて判断を飛ばさせる手口として見た方が実態に近いです。

現場運用で先に決めるべきルール

『どの業務で QR を使うか』より『どの処理で QR を使わないか』を決めるべきです

クイッシング対策で先に決めるべきなのは、QR の利用可否を細かく増やすことではなく、認証変更、送金、権限付与、アカウント回復のような高リスク処理では QR を最終導線にしないことです。禁止線がはっきりしているほど、利用者も現場も迷いにくくなります。

逆に、案内表示、イベント導線、資料配布、店舗説明のように QR の利便性が大きい場面は残してよいですが、その場合も「読み取った後に何を確認するか」をセットで定義する必要があります。

端末側の確認、掲示物の回収、認証初動を同じ対応手順に載せるべきです

QR 詐欺は、端末利用者、現場担当、情報システム、広報や店舗運営が別々に動くと止まりません。読み取り後の URL 確認、怪しい QR の撮影と報告、現物回収、リンク停止、影響アカウントのパスワード変更とセッション失効まで、一連の対応手順としてまとめる方が実効性が出ます。

指標としても、啓発回数より、報告までの平均時間、現物撤去までの時間、正規導線への差し替え完了率、重要処理で QR を使わない比率を見る方が改善の度合いを把握しやすくなります。

ブランド悪用と公開導線管理を同じ会議で見ると再発しにくくなります

クイッシングは QR 画像だけの問題に見えますが、成立しやすさにはブランド悪用や公開導線の多さが効きます。古いキャンペーン URL、残存したログイン画面、用途不明のサブドメインが多いと、QR の飛び先に信頼感を持たせやすくなります。

そのため、広報、Web 運用、情シス、認証担当を分けて運営するより、『外から見える本物らしさ』を減らす観点で同じ会議に載せる方が再発防止につながります。クイッシングは QR 単体ではなく、外部公開面全体の整理で見るべきテーマです。

印刷物とデジタル案内を、同じ台帳で棚卸しする方が安全です

現場で抜けやすいのは、紙の掲示物は総務、メールは情報システム、イベント案内は広報、店舗掲示は現場責任者と分かれていることです。これでは、どこに QR があり、どこから正規導線へつながるかを横断で把握しにくくなります。

受付、店舗、イベント、PDF、会員向けメールを同じ台帳で持てると、古い QR や残った導線 をまとめて止めやすくなります。クイッシングは媒体別対策より、導線全体の棚卸しの方が効きます。

検知・防御・運用で押さえるべき対策

QR を読んだ後に『公式アプリへ戻る』ことを標準にするべきです

実務で効果が高いのは、QR を読んだらそのまま処理を進めるのではなく、公式アプリ、既知の URL、ブックマーク済みページへ戻る運用です。来訪登録や簡易案内は別として、認証変更、支払、権限付与のような重要処理を QR の遷移先に依存させない方が安全です。

Microsoft の QR 詐欺整理でも、読み取り後の確認が重要とされています。つまり、QR の読み取りを禁止するより、読み取った後に何を見て、どこへ戻るかを明確にする方が現実的です。

怪しい QR の報告と撤去を早くしないと、紙面や掲示物で被害が続きます

クイッシングは、メールと違って「見つけた後も現物が残る」ことがあります。掲示物、チラシ、印刷物、店頭表示、配布資料の QR が偽装されていると、何人も同じ導線へ進んでしまいます。だから、報告窓口だけでなく、誰が回収し、誰が差し替え、誰がリンク停止を依頼するかまで決める必要があります。

運用指標としては、怪しい QR の報告から撤去までの時間、差し替え済み掲示物の割合、正規導線の統一率、QR を使わない重要手続の比率などを見る方が、単純な啓発回数より改善につながります。

加えて、認証更新や支払のような高リスク処理では、QR から直接完了させず、公式アプリや既知の URL へ戻す仕組みを徹底してください。QR を読むことと、処理を完了することを分ける だけでも、誤誘導の成功率は下げやすくなります。

実務では、重要 QR の用途一覧、禁止用途一覧、掲示物差し替え担当、リンク停止依頼の責任者を明文化し、現場の裁量任せにしないことが大切です。QR が便利だからこそ、運用の境界線を文章で残しておく必要があります。

メール訓練と、店舗や受付での訓練は分けて設計するべきです

クイッシングはパソコンの受信箱だけで起きるわけではありません。受付、イベント、店舗、紙面、PDF のように、現場で QR を読む行為そのものが正規に見えるため、メール訓練だけでは行動が変わりにくいです。

だから、店舗や受付の現場では「怪しい QR を見つけたら回収と報告をどう進めるか」、オフィス側では「メール内 QR を読んだ後にどこへ戻るか」を分けて訓練すると、媒体ごとの盲点 を潰しやすくなります。

特に、受付、店舗、イベント、PDF 配布の 4 つは担当部門が分かれやすいので、訓練も役割別に用意した方が有効です。誰が回収するのか、誰が正規導線へ差し替えるのかを役割ごとに決めると、発見後の停滞を防ぎやすくなります。

さらに、現場のルールを紙の手順だけで終わらせず、正規 QR 一覧や禁止用途一覧を定期更新して共有すると、担当者が変わっても判断基準がぶれにくくなります。クイッシングはその場の注意力より、更新され続ける運用資料 の有無で差が出ます。

更新責任者を決めずに QR 一覧だけ作ると、すぐ古くなります。受付、広報、Web 運用のどこが最終更新を持つのかまで明確にすると、古い QR の温存 を減らしやすくなります。

正規 QR の更新責任が曖昧だと、偽 QR と紛らわしい状態そのものが長く残ります。

更新責任の明確化は、QR 運用の基礎統制です。担当が曖昧だと古い導線が残り、現場判断だけでは継続管理できません。台帳の更新日、担当者、差し替え期限を残しておくと、古い QR を「誰も止められない状態」を防ぎやすくなります。

また、紙の掲示物、Web 案内、PDF、代理店配布資料を別管理のままにすると、どこか一つだけ直しても別の媒体に古い QR が残ります。媒体をまたいで更新責任をそろえることが、クイッシング対策では技術設定と同じくらい重要です。

QR詐欺で信頼感を補強されやすい公開導線の棚卸しなら ASM診断 PRO

ASM診断 PRO はクイッシングそのものを検知する製品ではありません。ただし、偽 QR が成立しやすい理由には、外から見える公開導線が関わります。古いキャンペーン URL、残ったサポート接点、放置されたサブドメイン、ブランドに近い公開面が多いと、QR の飛び先に信頼感を持たせやすくなります。

ASM診断 PRO なら、そうした外部接点を外から見える範囲で棚卸しし、どの導線を止め、何を統一し、どこを強く保護すべきかを整理しやすくなります。QR の危険性を利用者教育だけに閉じず、攻撃者が使える材料を減らす視点まで広げたい時の補助線として使えます。

たとえば、過去のキャンペーンページ、使われなくなった受付 URL、古い会員向け案内がまだ外から見えていないかを把握できれば、偽 QR の飛び先に似せられやすい導線を減らせます。公開導線の整理は、QR 利用ルールと同じくらい重要です。

QR コード自体を禁止しなくても、外から見える案内面を整理し、正規導線を一本化する と、攻撃者が本物らしさを組み立てにくくなります。現場ルールと公開面管理をつなぎたい時の入口として使えます。

複数のイベントページ、受付用 URL、会員向け案内が長期間残っている組織ほど、偽 QR に現実味を持たせやすくなります。外から見える導線の統一は、現場での QR ルールを支える土台です。

よくある質問

クイッシングとスミッシングは何が違いますか

スミッシングは SMS を使った詐欺で、短いメッセージと緊急性が主役です。クイッシングは QR コードを使って URL の確認を飛ばさせる点が主役で、紙面やポスター、メール本文、PDF からスマートフォンへ誘導するのが特徴です。

QRコードを全部禁止すれば防げますか

全面禁止だけでは現実的でない場面が多いです。重要なのは、どの業務で QR を使うのか、QR の先でログインや支払を直接させるのか、読み取り後に公式アプリや既知の URL へ戻るのかを決めることです。

紙の案内や店頭掲示も危険ですか

はい。クイッシングは、紙の案内や店頭掲示のように「本物らしく見える場所」で特に成立しやすいです。掲示物の差し替えや QR の飛び先管理が弱いと、メールより長く被害が続くことがあります。

多要素認証があれば QR 詐欺は防げますか

それだけでは不十分です。多要素認証があっても、例外アカウント、弱い回復フロー、セッション管理の弱さがあると、偽 QR の後に被害が広がります。入口対策と突破後の抑止を一緒に整える必要があります。

ASM診断 PRO は QR コードそのものを検知しますか

いいえ。ASM診断 PRO は QR 画像を検知する製品ではありません。役割は、偽 QR の飛び先として悪用されやすい公開導線や古い案内ページを棚卸しし、外から見える材料を減らすことです。端末側の確認ルールや認証強化と併用する前提です。

まとめ

クイッシングは、QR コードの利便性を使って URL の確認を飛ばし、利用者を偽サイトや危険な導線へ進ませる詐欺です。危険なのは QR 自体ではなく、読み取った後の確認が抜けやすいことと、認証や回復フローの弱さがそのまま後段の被害につながることです。

企業が優先すべきなのは、QR を使う業務と使わない導線を決めること、読み取り後に公式アプリや既知の URL へ戻る運用を作ること、認証例外と回復フローを見直すこと、怪しい QR の報告と撤去を早くすること、そして偽誘導先になりやすい公開導線を減らすことです。QR の便利さを否定するのではなく、確認の標準化と公開導線管理まで含めて整えてください。

とくに、メール、紙面、店頭掲示、配布資料のように QR が自然に見える場面ほど、利用者は手順だと思って読み取りやすくなります。だからこそ、QR の用途を増やす議論より先に、高リスク処理では QR を最終導線にしない原則を決める方が効果的です。

さらに、ブランド悪用に使われやすい公開導線、古い案内 URL、残ったサブドメインを減らすと、偽 QR の飛び先に信頼感を与えにくくなります。クイッシング対策は QR 画像の注意喚起だけではなく、外から見える本物らしさをどう減らすかまで含めて進めてください。