Hackers Using Malicious Imageless QR Codes to Render Phishing Attack Via HTML Table
2026/01/07 CyberSecurityNews — 最近観測されたフィッシング・キャンペーンでは、QR コードを新たな方法で悪用し、単純な HTML テーブルでコードを構成することで、ユーザーを悪意あるサイトへリダイレクトする手口が確認されている。攻撃者が構築するコードは、従来の QRコード画像ではなく、白/黒に設定された数百個の小さなテーブルセルを組み合わせたものである。この方法で生成されたコードをメール本文に埋め込むことで、通常の QR コードと同様にスキャンが可能となる一方、多くのメール防御機構では画像として認識/解析されない。
2025年12月22日〜26日にかけて確認された悪意のメッセージは、非常にシンプルな構成を採用している。短い誘導文と、被害者にスキャンを促す HTMLテーブルにより構成された、高密度な QR コード風のブロックが1つだけ配置されている。
それぞれの QR コードは、”lidoustoo[.]click” のサブドメインへとリダイレクトするものであり、URL パスには “hxxps[:]//” の後に受信者のドメイン名が含まれることが多かった。この構造により、リンクは正規のものに見え、不審さが軽減されている。
SANS Internet Storm Center の解析によると、これらの QR コードは 4×4 ピクセル相当のセルで構成された HTML テーブルとしてレンダリングされており、背景色を白/黒に切り替えることで QR パターンを表現している。
.webp)
多くの QR 検査エンジンは、 画像ファイルやインライン画像データを解析対象とするため、こうした手法による回避が成立してしまう。つまり、メール本文の HTML は、単純なレイアウト用マークアップに見えるため、従来型のコンテンツ・フィルターに検知されにくい。
サンプル解析の結果として確認されたのは、以下のようなコードによりセルを高密度に配置することで、QR パターンを形成する手法だった。
<table role="presentation" border="0" cellpadding="0" cellspacing="0">
<tr height="4">
<td width="4" height="4" bgcolor="#000000"></td>
<td width="4" height="4" bgcolor="#FFFFFF"></td>
<td width="4" height="4" bgcolor="#000000"></td>
<!-- QRパターンを形成するセルがさらに多数 -->
</tr>
</table>
このような、HTML テーブル型 QR コードによる検出回避の手法は、多くのセキュア・メール・ゲートウェイの盲点を突いている。
QR 画像を前提とした検出ロジックでは、HTML テーブルを潜在的なグラフィック構造として解析しない場合が多く、その結果として、QR 対応の検査をすり抜けてしまう。
このキャンペーンは、コンテンツの見た目の正常さだけに依存する対策では不十分であることを示している。メール・セキュリティ製品には、異常に密集した表構造を QR コード候補として扱う DOM ベースの分析や、外部リダイレクト挙動の検知が求められる。
ユーザー側においても、メール内の QR コードをスキャンする行為は、未知のリンクをクリックするリスクに等しいという点を、継続的に教育する必要がある。コードが単純で無害に見えたとしても、安全性が保証されるわけではない。
QR コードを HTML テーブルで置き換える、新しいフィッシングの手口が巧妙です。この手法は、QRコードを画像としてではなく、HTML の表 (テーブル) として作成するものです。本来はレイアウトを整えるための小さなマス目を、白と黒にカラー指定して並べることで、ブラウザ上で QR コードとして表示させています。多くのセキュリティ製品は、画像ファイルに含まれる悪意をチェックしますが、この手口では単なる表のデータに見えるため、検査をすり抜けてしまいます。セキュリティ・ベンダーによる対応が待たれますが、ユーザー側でも注意が必要です。よろしければ、QR Code での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.