1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. ハッカー集団・脅威アクターに関する動向
  5. 北朝鮮のハッカーがQRコードフィッシング(クイッシング)をサイバー攻撃に活用-FBIが警告

北朝鮮のハッカーがQRコードフィッシング(クイッシング)をサイバー攻撃に活用-FBIが警告

セキュリティニュース

投稿日時: 更新日時:

北朝鮮のハッカーがQRコードフィッシング(クイッシング)をサイバー攻撃に活用-FBIが警告

QRコードを読み取らせ、利用者を偽サイトへ誘導するフィッシングは、クイッシングと呼ばれます。FBIの注意喚起(FLASH、2026年1月8日付)は、北朝鮮系とされるKimsukyが米国のNGO、シンクタンク、学術機関、政府関係者などを狙い、メールに埋め込んだ悪性QRコードで標的をスマートフォン側へ誘導する手口を用いていると指摘しました。

クイッシングとは?

クイッシングは、QRコードを悪用したフィッシングの手口です。QRコードを読み取らせて、偽のログインページや偽の決済ページへ誘導し、ID・パスワード、クレジットカード情報、認証コードなどの機微情報を入力させて盗み取ります。

一般的なメールのフィッシングと違い、QRコードは見た目だけでは遷移先URLが分からないため、利用者がリンク先を事前に判断しにくい点が悪用されます。さらに、メール本文のURLではなくQRコード画像で誘導することで、メールセキュリティのURL検査をすり抜けやすくなるケースもあります。

FBIが警告する北朝鮮ハッカーのクイッシング:メール添付のQRコードでモバイルへ迂回

FBIのFLASHによると、Kimsuky(北朝鮮ハッカー)はメール本文内のリンクではなく、QRコード画像を添付したり埋め込んだりして標的に読み取りを促します。これにより、従来のメールセキュリティ(URL検査、書き換え、サンドボックス等)を回避しやすくなるとされています。

文書内では攻撃の流れも具体的です。標的がQRコードを読み取ると、攻撃者が用意した転送基盤を経由し、

端末情報(ユーザーエージェント、OS、IP、言語設定、画面サイズなど)を収集したうえで、Microsoft 365やOkta、VPNポータル等になりすました認証情報窃取ページを提示するとしています。


さらに、最終的にセッショントークンの窃取と再利用で、多要素認証をすり抜けたアカウント乗っ取りに至り得る点が重要です。侵害後は権限維持や、侵害したメールボックスからの二次的な標的型攻撃まで想定されています。

FBIは、2025年5〜6月にかけて、外国政府関係者、在外公館職員、シンクタンク職員などになりすまし、アンケートやファイル共有、会議招待を装ってQRコードを送った事例を挙げています。登録ボタンから偽のGoogleログインへ誘導し、資格情報を回収する流れも明記されました。

日常生活に広がるQRコード詐欺

CNBC記事では、QRコードが飲食店メニューから、搭乗券、駐車料金の支払いなど、急いで処理しがちな場面に浸透したことで、攻撃者にとって低コスト・高効率な誘導装置になっている点が強調されています。

同記事が引用する統計・調査として、NordVPNの推計では、QRコードを検証せず読み取る人が多く、すでに相当数が悪性サイトへ誘導された可能性が示されています。
また、米FTCも、予期しない荷物に貼られたQRコードなど、意図不明のQRコードを読み取る行為が、フィッシングやマルウェア感染につながり得るとして注意喚起しています。

なぜQRコードはフィッシングに向くのか

QRコードは、見た目だけでは遷移先URLを判別できません。

しかも、メールのリンクではなく画像や紙の印刷物経由でモバイルへ移すことで、企業側の監視・制御(端末管理、EDR、プロキシログ、URLサンドボックス等)の外側に出やすくなります。FBIが企業端末からモバイル端末への迂回を明確にリスクとして挙げているのは、この構造が背景にあります。

加えて、誘導先でID・パスワードを奪うだけでなく、セッショントークンの窃取・再利用でMFA回避が起き得る点が、従来型フィッシングより刺さる理由になります。

企業・組織が取るべき対策:FBI提言と現場運用の落とし込み

FBIは、QRコード起点の標的型攻撃に対して、多層防御を推奨しています。従業員教育(不審なQRコードを読み取らない、緊急性を煽る誘導に乗らない、別経路で送信元確認をする)、怪しい事案の報告ルール整備、MDM等でQRリンク先URLを評価してからアクセスさせる仕組み、フィッシング耐性の高いMFAの必須化、スキャン後の認証入力・通信の監視などです。

現場目線で補うなら、ポイントは次の3つに集約されます。

スマホはPCと同じ強度で対策

スマホを社外扱いにしないことです。業務でQRコードを読む前提があるなら、社用スマホのブラウザ制御、フィッシングサイトブロック、DNSフィルタ、危険ドメインの遮断などを、PCと同じ温度感で整備しないと抜け穴になります。

認証を奪われる前提で設計

認証を奪われる前提で設計することです。FBIがセッショントークン再利用によるMFA回避に触れている以上、MFAの有無だけでは安心できません。フィッシング耐性の高い認証方式の採用、条件付きアクセス、セッションの短命化、異常な端末・地域・IPからのセッション検知などを組み合わせ、奪われても継続利用させない設計が重要です。

また、従業員へこういったサイバー攻撃の手法が存在する事を定期的に啓発する必要があります。

関連記事

ディープフェイクがサイバー攻撃・影響工作に悪用される可能性-FBI警告AIやディープフェイクがサイバー攻撃・影響工作に悪用される可能性-FBI警告 サイバー攻撃の事例を解説サイバー攻撃の事例を解説 世界最大級のハッカー フォーラム 創設者へ懲役3年世界最大級のハッカー フォーラム 創設者へ懲役3年 ランサムウェア 事例|2022年ランサムウェア 事例|2022年 英国の有名なハッカー「IntelBroker」が起訴、被害総額は約2,500万ドル(約36億円)英国の有名なハッカー「IntelBroker」が起訴、被害総額は約2,500万ドル(約36億円) FBI、銀行サポートを装うアカウント乗っ取り詐欺に警鐘 -2025年だけで2億6,200万ドル(約409億円)超の被害FBI、銀行サポートを装うアカウント乗っ取り詐欺に警鐘 -2025年だけで2億6,200万ドル(約409億円)超の被害 FBIがバーチャル誘拐詐欺を警鐘-SNS写真を加工した「偽の生存証明」で身代金を要求FBIがバーチャル誘拐詐欺を警鐘-SNS写真を加工した「偽の生存証明」で身代金を要求 EDRSilencerがエンドポイントセキュリティを回避する手段に悪用EDRSilencerがエンドポイントセキュリティを回避する手段に悪用 ランサムウェア グループ AkiraがIPカメラを介してサイバー攻撃と不正アクセスランサムウェア グループ AkiraがIPカメラ(Webカメラ)を介してサイバー攻撃と不正アクセス