QR Code の武器化に新たな要素:分割型とネスト型で自動検出プロセスを混乱させている

Hackers Weaponize QR Codes With Malicious Links to Steal Sensitive Data

2025/08/21 gbhackers — QRコードに埋め込んだ悪意のハイパー・リンクを介して、ユーザーの認証情報や機密データを盗み出すクイッシングの台頭が示すのは、絶えず変化するサイバー脅威の勢いである。従来のフィッシング (Phishing) は、偽装メール内のリンクのクリックなどを悪用するものだが、クイッシング (Quishing) が悪用するのは、QR コード特有の不透明性である。QR コードは人間の目には判読不能であり、疑念を抱かせないという性質を持つ。

この手法を、攻撃者たちが好む理由は、送信された QR コードが無害に見える点にあり、また、メール・ゲートウェイや URL スキャナーといった、従来からのセキュリティ対策を回避できるところにある。

さらに、モバイル・デバイスでのコード・スキャンが必要になるため、インタラクションが企業のセキュリティ境界の外側に移行し、ファイアウォールやエンドポイント検出システムといった保護層が欠落した状態で、被害者をリスクにさらすことになる。

脅威アクターたちの戦術が洗練されるにつれて、近年の技術の革新によりクイッシングは高度化し、適応型セキュリティ・ツールでさえ撹乱する手法が取り込まれている。この進化が強調するのは、ペイロードのエンコードから回避メカニズムに至るまでの技術的な基盤を、ユーザー組織が理解することの重要性と、それを前提とする防御体制の強化の必要性である。

高度な回避戦術

最先端の Quishing 技術には、分割 QR コードというものがある。この手法を採用する。Gabagool の Phishing-as-a-Service (PhaaS) プラットフォームは、それによりステルス性と検出の回避を強化している。

この手法を用いる攻撃者は、悪意の QR コードを、複数の画像セグメントに分割し、フィッシング・メール内に個別に埋め込む。

Malicious Links
QR code in the message

従来のメールセキュリティ・ソリューションで、この種の分割 QR コードをスキャンしても、それらの断片は無関係な画像として扱われ、システムによるコードの再構成と分析が妨げられる。

実際に観測された、最近のキャンペーンで、Gabagool の攻撃者が展開した分割 QR コードは、Microsoft のパスワード・リセット詐欺を試行していた。その攻撃では、会話乗っ取り型のエクスプロイトが事前に仕掛けられ、パーソナライズされたルアーにより、被害者からの信頼を高めていたと考えられる。

そのメールの、HTML 構造を詳細に分析すると、悪意の QR コードは2つの異なる画像を組み合わせたものであり、ユーザーがスキャンすると認証情報を窃取するためのフィッシング・サイトへと誘導されたという。Barracudaのレポートによると、この手法は、静的画像スキャナの限界を悪用したものであり、コンテキスト解析を導入しない限り、それらの要素の関連付けは不可能であるという。

それに加えて、ネストされた QR コードという新たな戦略もある。Tycoon 2FA PhaaSキットに見られるように、悪意と正規の QR コードを重ねることで、自動検出プロセスを混乱させるという事例もある。ある攻撃では、外側のコードが不正な URL へと誘導し、内側のコードが Google など信頼できるドメインを指すことで、外側の悪意のペイロードを隠蔽したという。この二重構造は、ヒューリスティック評価の脅威スコアを低下させ、検知を困難にする。

マルチモーダル AI による防御

急速に進化する Quishing の脅威に対抗するために、サイバー・セキュリティ専門家たちが推奨するのは、高度なテクノロジーと基本的な防御策を組み合わせる、多層的な戦略である。ただし、ユーザー教育によるセキュリティ意識向上/多要素認証の導入/強力なスパム・フィルターの活用は、これまで通り必須であるという。

分割 QR コードや、ネスト QR コードといった高度化を考慮すると、ユーザー組織が優先すべきは、マルチモーダル AI を活用した保護システムの導入である。AI 駆動型のソリューションでは、OCR や Deep Image などを用いて、添付ファイルを視覚的にレンダリングして QR コードを識別した上で、埋め込まれたコンテンツを解析するという、高精度検知の実現が必要となる。

また、疑わしいリンクをサンドボックス環境で実行することで、リアルタイムでの挙動を観察し、機械学習モデルによりピクセル・パターンや構造的な異常を解析するという手法もある。自然言語処理とコンピュータ・ビジョンを組み合わせる、この種の統合アプローチは、QR コードを悪用するフィッシング亜種に対する、強固な防御壁となるだろう。

このような技術的な安全策を導入することで、ユーザー組織は攻撃対象領域を縮小できる。それと同時に、攻撃者が新たな手法を導入しても、メカニズムの進化による継続的な防御が保証されるだろう。

QR コードを悪用するクイッシング (Quishing) が、台頭しているようです。注目すべきは、QR コードの不透明さです。人間の目では、埋め込まれた URL を確認できず、メールのリンクよりも疑われにくい点を、攻撃者たちは悪用しているようです。さらに、分割 QR やネスト QR などの高度化した手法に、対応しきれないという現状があるようです。よろしければ、QR Code で検索も、ご参照ください。