はじめに
2025年7月20日付の日経新聞によると、QRコードを悪用した詐欺メールが過去3年間で10倍に急増しており、PayPayなども注意喚起を始めています。
メール本文内に見えないリンクとして仕込まれるQRコードは、従来のURLリンクと比べ検知が難しく、スマートフォンやQRコード決済の普及により攻撃者の格好の標的に成長しています。
本記事では、急増するQRコード詐欺メールの実態を整理し、メールセキュリティ製品Libraesva(リブラエズバ)が提供する「QRコードURI検出機能」に着目して、その仕組みや効果、導入のポイントを徹底解説。企業・組織が今すぐ検討すべき対策を提案します。
引用URL:QR詐欺、3年で10倍 PayPayは注意喚起 メールに添付→偽サイトに誘導 URLより判別困難 – 日本経済新聞
QRコード詐欺メールとは? 典型的な手口とリスク
手口の特徴
QRコードを悪用した詐欺メールには、以下のような特長があります。
- メール本文にQRコードを貼付し、偽サイトへ誘導する
- 金融会社や配送業者になりすまして「緊急性」を演出し、個人情報や認証情報の入力を誘導する
- 画像化されているため、従来のスパムフィルターでは検知しづらい
- 画像でメールに埋め込まれるケースに加え、HTML と ASCII 文字で作成されるケースもある
画像1 引用:フィッシング対策協議会緊急情報 QRコードから誘導するフィッシング
典型的なシナリオ(架空の例)
画像1のように、支払いを請求するメール文面に、QRコードの画像が埋め込まれている例が典型的な悪用例となります。その手口は以下の通りです。(架空の例ととなります)
- 「Amazon請求未払いのお知らせ」メールを受信
- メール内のQRコードで偽サイトへ誘導
- アカウント情報・クレジットカード情報を入力させる
- 入手した情報を悪用し、金銭を奪い取るなどの窃取を行う
QRコードを悪用したメール特有のリスク
QRコードを悪用したメールには、URLや添付ファイルの悪用とは異なる特有のリスクがあります。
URLが見えないため、視覚的な判断が難しい
各団体によるフィッシングメールへの注意喚起や社内教育によって、多くの従業員がメール本文内のURLの文字列や、クリックをする前にリンク先を確認するようになりました。しかし、QRコードの誘導先は目視で確認をすることができません。そのため、アクセス前にチェックをするということができません。
遷移先に違和感を覚えられない
QRコードを読み取る際、受信者は必然的にスマートフォンを使用することが多くなります。そのため、読み込んだ瞬間に別のドメインへ遷移したり、遷移した画面が少し異なっていたりしても、ユーザー側がスマートフォンの動作仕様だと感じてしまい、違和感を覚えづらいこともリスクとなっています。
これらのリスクが「見えない罠」となり、攻撃成功率が高まる要因として挙げられています。
なぜ今、QRコードを悪用した攻撃が急増しているのか?
QRコードを悪用した攻撃が増加傾向にある理由には、以下が挙げられています。
スマホ+QR決済アプリケーションの普及
現代はスマートフォン利用率の上昇や、PayPayなどQRコード決済の普及が進んでいます。そのため、利用者はQRコードへの読み取りに対する抵抗感が低下しています。この要因の一つには、公共施設・自治体・小売店舗でも幅広くQR決済が使われ、広報もされたことから、支払う上で信頼できるツールとして扱われ始めている背景があります。
セキュリティの盲点を突いている
Eメールセキュリティ製品は、URLリンクに対する検知技術は成熟しています。しかし、画像内の情報を読み取るセキュリティは過去のままであるものが多く、更新が追い付いていない製品が存在します。セキュリティ製品は限られたプラットフォームで開発されているため、新たな攻撃に対応する追随が進んでいない製品があり、QRコードを悪用したメールのフィルタリングに対応できないという隙を攻撃者が突いている状況です。
引用元の日経新聞によると、QRコードを悪用した攻撃は過去3年で10倍に急増しています。PayPayは「偽QRコード」による詐欺被害を実際に報告していますし、緊急注意喚起を発出しています。既に、銀行・通販・宅配など複数のケースで被害が確認されており、IPAやフィッシング対策協会の報告にも挙げられている状況です。Eメールセキュリティ製品においては、QRコードを悪用した詐欺に対抗する技術的なシステム更新が必要であり、制度面・運用面での早急な対策強化が求められている現状があります。
Libraesva(リブラエズバ)とは?Eメールセキュリティの旗手
QRコードを悪用したメール攻撃に対抗する Libraesva Email Security(リブラエズバ Eメールセキュリティ)は、イタリアのメールセキュリティ対策専門企業によるメールセキュリティ製品です。
主要な機能として、AI・機械学習を活用したスパム・フィッシング対策、SMTPゲートウェイレベルでのリアルタイムスキャン、添付ファイル/URL/画像の多層分析、複数のプラットフォーム対応(Microsoft 365、Google Workspace含む)などが挙げられます。
今回は、QRコードを悪用したメールへの対策に焦点を当てて、どのようにリスクを回避する仕組みをもっているのかをご紹介します。
QRコードURIの動作概要
Libraesvaは、QRコードを悪用したメールを検知するプラグインを持っています。
プラグインは、以下のように動作します。
- メール本文や添付された画像からQRコードを識別
- 埋め込まれたURLを展開(ASCII/HTML形式にも対応)
- セキュリティエンジンでURLの評判・安全性をリアルタイム評価
- 危険と判断された場合、メールを隔離、削除、または管理者へアラート通知
設定から「QR Code URI Detection」をEnableにすると動作(デフォルト設定はEnable)
Libraesvaと他社製品の違い
他社のメールセキュリティ製品との違いは以下の通りです。
画像からURLを読み取る機能があるメールセキュリティ製品は少数
Eメールセキュリティ製品は数多く市場に存在していますが、本文や添付された画像からQRコードを識別し、かつASCII/HTML形式にも対応している製品は未だ少ないのが現状です。中には、短縮URLなどでセキュリティをすり抜けてきたメールの本文URLをクリックすると、セキュリティDBを通さずに攻撃者のドメインに移動させてしまうものもあります。
QRコードを悪用した攻撃を正しく処理し、かつ、メール本文のURLをクリックしても無害化させるメールセキュリティ製品の選定することが重要です。
QRコード検出に加え、高度なスパム・マルウェア検知と統合
Libraesvaは、複数のAIを組み合わせたスパム・マルウェア検知能力を兼ね備えています。それらをオンプレミス、クラウド上で機能差なしで使用できます。
AIは、ベイジアンエンジン、SemanticAI、Adaptive Trust Engine(ATE-適応型信頼エンジン)の三種類が動作しており、メールヘッダーをはじめとする構造の分析、メール文脈や意図の分析、送信者との関係性を分析しパターン化を行います。また、最大3つのAV製品を積むことができるため、スパム・マルウェアを徹底的にブロックできます。更に、URLや添付ファイル内部のスクリプト・リンクを無害化することで、安全性を向上させます。
組織導入シーン(仮想例)
想定される導入シーンには、以下のようなシーンが挙げられます。
- 金融機関:個人情報漏えい対策
- 教育機関:教員・学生への詐欺被害防止
- 製造・食品関連企業:技術情報漏洩対策・サプライチェーン攻撃への対策
- インフラ関連企業:諸外国からのサイバー攻撃からの保護
- 官公庁:政策情報などを狙うサイバー攻撃からの保護
今後の展望と課題
今後、メールを悪用した攻撃は更に種類を増すことが予想されます。QRコードを悪用した攻撃だけでなく、画像・PDF内リンク悪用のリスクも拡大しています。添付ファイルのサニタイズや、URLの無害化ができる機能をもつメールセキュリティ製品を選定することで、業務の効率化が進み、社内教育の内容をシンプルにすることができます。
Libraesvaは今後も、画像解析+機械学習+多層セキュリティによる進化を続け、ユーザーの不安を解消すべきアップデートをし続けていきます。
まとめ
QRコードを悪用した詐欺メールは、3年で10倍に急増しました。PayPayを始めとするキャッシュレス支払いサービスにおいて、被害報告が出ています。見えないリンクとしてのQRコードはメールセキュリティの既存対策の弱点を突いており、高度な技術的防御が急務といえます。
LibraesvaのQRコードURI検出機能は、未知リスクを補完する強力なソリューションであり、複数のAIを活用してQRコードを悪用したメールを始めとする、新たな脅威に対抗します。
自社環境のメールセキュリティが有効に動作をしているか確認されたい時は、Eメールセキュリティテスターをご利用ください。トライアルは、30日間無償で実施できます。
ここまでお読みくださり、ありがとうございました。
