悪性QRコードがモバイル境界を破る——短縮URL・ディープリンク・APKの三段跳びで拡散する「クイッシング」の現在地です

今日の深掘りポイント

• 物理空間からモバイル、そしてクラウドへ抜ける攻撃導線は、従来のメール・Web検査の外側で成立しやすいです。ここが最大のブラインドスポットです。
• 攻撃者は「短縮URL → アプリ内ディープリンク → APK直配布」を連鎖させ、リンク確認とモバイル制御の両方をすり抜けます。ワンクッションずつ審査の目を外す発想です。
• 可視化のカギは「QR起点の解析（展開・最終FQDN解決・プロファイリング）」と「モバイル流量の検査経路化（MTD/MAM＋SWG/Per‑App VPN）」です。
• 認証は「フィッシング耐性（FIDO2/パスキー）」へ引き上げない限り、AiTM経由でセッションを奪われ続けます。
• 金融はもちろん、選挙・公共サービス・小売など物理掲示が多い業態ほどリスクが面で広がります。現場運用（掲示物・印刷）の統制がセキュリティの一部になります。
• 現場KPIは「不明出所QRからの遷移率」「短縮URL連鎖の深さ・最終ドメイン新規度」「未知ソースからのAPKインストール試行数」で見ると打ち手の効果が測れます。

はじめに

QRコードは「非接触で速い」という価値が支持され、日常のUXになりました。結果として「スキャンは無害」という思い込みが広がり、攻撃者にとっては境界を越える理想的な踏み台になりました。Palo Alto Networks Unit 42は、短縮URLやアプリ内ディープリンク、APK直配布を組み合わせた悪性QRコードの横行を報告し、日々1.1万件超の悪性QRコードが検出されていると述べています。特に金融業界の被害が目立ちます［出典: Unit 42］です。
このテーマは、発生確度と信頼性が高く、現場で即実装できる対策の幅も広い一方で、ユーザ行動の変容が必要になるため「楽観要素は少ない」領域です。経営判断としても優先度は高く、モバイルと物理運用を跨ぐ体制設計が問われます。

参考: Unit 42 – QR Codes as an Attack Vector

深掘り詳細

事実整理：観測されているTTPと被害相

• 悪性QRコードの検出は日次で1.1万件超に達し、金融サービスが主要ターゲットになっています［Unit 42］です。
• 典型的な連鎖は以下です。
  • 短縮URLで行き先を隠蔽（解決先は頻繁に差し替え可能）です。
  • ディープリンク（例: intentスキーム、アプリ固有スキーム）で既存アプリを開かせ、正規UIに近い文脈で認証や支払いを促します。
  • APK直配布や権限要求（通知アクセス、他アプリ上描画）でオーバーレイ型フィッシングやワンタイムコード窃取に進みます。
• 物理世界の貼付物（店舗の決済、駐車・公共料金、案内ポスター）やデジタル上の画像（メール・SNS・メッセージアプリに添付されたQR）を起点に、モバイルでリンクが開かれるため、企業のメールゲートウェイ・PC EDR・社内プロキシの“視界外”で事象が完結しやすいです。

出典: Unit 42 – QR Codes as an Attack Vector

インサイト：検知が抜ける「物理→モバイル→クラウド」の断面

• 端末のカメラ→ブラウザ（またはアプリ）という経路は、企業のネットワーク境界やメール防御をバイパスします。BYOD端末ではMDM/MTDの統制が及ばず、企業からはDNS/HTTPの可視性も得にくいです。
• 短縮URLは「遷移の多段化」と「リダイレクト先の動的差し替え」を提供します。組織側が1度ブロックしても、攻撃者は終点だけを差し替えて回避できます。
• ディープリンク検証（Android App Links、iOS Universal Links）の未整備や、カスタムURLスキームの氾濫は、リンクの乗っ取りや意図しないアプリ起動を許します。これが「正規アプリの文脈で入力を促す」錯視を生み、認証情報と本人確認フローを同時に突破しやすくします。
• 認証がTOTPやSMSのままだと、AiTMプロキシやオーバーレイでセッション・コードが奪取されます。デバイス紐付けの強いFIDO2/パスキーへの移行が遅れている領域ほど、被害の再発性が高いです。

脅威シナリオと影響

以下は想定シナリオ（仮説）と、MITRE ATT&CKに沿った位置付けです。実環境に合わせてテーブルトップ演習に落とし込むことをおすすめします。

• シナリオ1：店舗・支払い現場のQR差し替えで銀行認証を奪取です

  • 手口: 決済や割引案内のQRが短縮URLに誘導し、正規風のログインページかディープリンクで銀行アプリを起動して認証・ワンタイムコードを要求します。AiTMでセッションCookieも窃取します。
  • 影響: アカウント乗っ取り、送金・受取人追加、個人情報流出です。
  • ATT&CK（例）:
    • 初期侵入: Phishing（Spearphishing Link）です。
    • 実行: User Execution（リンク開封/アプリ起動）です。
    • 処理逃れ: 正規クラウド/短縮URLの悪用、難読化です。
    • 認証情報アクセス: Webフォームでの入力収集、AiTMによるセッション乗っ取り（Steal Web Session Cookie）です。
    • C2/流出: HTTPSのWebプロトコルで送信です。

• シナリオ2：社内ポスターのQRで「セキュリティ更新」を装いAPK sideloadへです

  • 手口: オフィス掲示/配布物のQRから「社内セキュリティ更新」ページを装いAPKを配布、通知アクセスやオーバーレイ権限を要求します。
  • 影響: 社用/業務アプリ上でのオーバーレイ・認証情報窃取、メール・チャット経由の社内拡散です。
  • ATT&CK（例）:
    • 初期侵入: Phishing（QRリンク）です。
    • 実行/永続化: 不正アプリ導入、起動時自動実行、権限濫用です。
    • 認証情報アクセス: 入力キャプチャ/オーバーレイです。
    • 横展開/拡散: 連絡先・メッセージの悪用で社内ソーシャル拡散です。

• シナリオ3：公共案内のQRでeKYC/税手続を装う広域詐取です

  • 手口: 行政手続や選挙関連の案内を装い、個人情報・本人確認書類のアップロードと決済を要求します。
  • 影響: 大量の個人情報流出、口座開設/融資/決済の不正利用、信頼失墜による二次被害です。
  • ATT&CK（例）:
    • 偵察/準備: 被害者組織・地域情報の収集、ブランド模倣用インフラ調達です。
    • 初期侵入～流出: 上記と同様にWebフォーム収集とHTTPS流出です。

これらのシナリオは、ユーザが「QR＝安全」という思い込みを持つ前提で高効率に成立します。現場では「掲示・配布物の真正性」「ディープリンクの検証」「MFAの耐フィッシング性」という3点の弱い鎖が連結していないかを点検すべきです。

セキュリティ担当者のアクション

実装容易なものからアーキテクチャ変更まで段階的に記します。優先度は各社の端末管理（BYOD/COPE）とクラウド活用状況に応じて調整してください。

• QR起点を可視化・検査する仕組みを追加します

  • メール/チャット/チケットに添付された画像中のQRを自動デコードし、URL展開（短縮URLの多段解決）と動的分析を行います。
  • モバイル流量をSWG/クラウドプロキシへ通す経路を設けます（Per‑App VPNやモバイルエージェント）。HTTPS内でのリダイレクト連鎖や新規登録ドメイン（NRD）を高リスク判定します。
  • ブラウザ拡張やモバイル保護アプリで「QR由来の遷移である」フラグを付与し、ポリシー分岐（例: 警告/ブロック/隔離ブラウザ起動）を行います。

• モバイル管理（MAM/MDM/MTD）をQR前提に再設計します

  • BYODはMAM優先で業務データをアプリ領域に閉じ込め、未知ソースからのAPKインストールを禁止します。
  • MTDでオーバーレイ権限要求・通知アクセスの濫用・ディープリンク悪用を検知し、リスクスコアに応じてアクセス制御（Conditional Access）に反映します。
  • ディープリンクの検証を強制します（Android App Links/iOS Universal Linksの整備、カスタムURLスキームの棚卸と最小化、業務アプリのインテント許可リスト化）です。

• 認証と決済・本人確認フローを「耐フィッシング」化します

  • FIDO2/パスキーを標準にし、TOTP/SMSは高リスク操作やレガシー限定に段階的に縮退します。
  • AiTM対策として、デバイス/ネットワーク/クッキー継続性の信号を強化し、セッションのデバイス紐付け・リスクベース再認証・トランザクション署名（例: 金額・受取人を端末鍵で確認）を導入します。
  • 「QRでログイン/支払いを開始しない」原則を掲示・UI・約款・FAQの全接点で明文化します。QRは公式アプリ内で生成・読取するフローに限定します。

• 物理運用の統制（セキュリティとブランド保全を接続）を行います

  • 店舗・支店・イベントの掲示物は改ざん防止（ホログラム/ナンバリング/耐改ざん素材）と定期点検ルーチンを運用に組み込みます。
  • 印刷物やデジタルサイネージのQRには、短縮URLを避け、公式FQDNと経路を明示します。差し替え検知のための監査用QR/透かしも検討します。
  • 「不審QRの通報→撤去→広報注意喚起」のプレイブックを現場に配布します。

• 検知・ハンティングの具体指標を持ちます

  • 指標例:
    • 短縮URLを起点にした遷移で、最終FQDNが登録7日以内の割合です。
    • モバイル端末からの新規IdPセッションで、直前に多段リダイレクトが観測された割合です。
    • 未知ソースAPKのインストール試行・ブロック件数、オーバーレイ権限要求の発生比率です。
  • ルール例（仮説）:
    • 画像添付メール内のQRから展開されたURLが、短縮→正規クラウドホスティング→ブランドなりすましの順で遷移するパターンを高リスクにします。
    • 1ユーザのMFA成功直後に別ASN・別UAから同一セッションが継続する挙動をAiTM疑いとして隔離します。

• ユーザ教育は「行動置換」を設計します

  • 「不明QRはカメラで直接開かず、公式アプリから読み取る」「短縮URLの確認」「権限要求（通知・オーバーレイ）は一旦拒否」が三本柱です。
  • 現場向けには、改ざんQRの特徴（シール重ね・印刷品質不整合・短縮URL表示）と、発見時の対応（写真記録→撤去→本部報告）をカード化します。

• インシデント対応の初動を定義します

  • 被害申告時の封じ込め（セッション無効化、受取人ロック、振込クーリング）、悪性QRの回収/撤去、周知、当局・決済事業者連携までを1枚の手順にします。
  • フォレンジックでは短縮URL連鎖の全解決と、終点のホスティング/証明書/登録者を追跡し、ブロックリストに反映します。

今回のスコア群が示唆するのは、発生確度と即応性が高い一方で、ポジティブな打ち手（ユーザに負担の少ない恒久策）が少ないという現実です。だからこそ、単発の注意喚起ではなく、認証・モバイル管理・掲示運用という“面”の防御で、リスクを恒常的に小さくする設計が肝になります。

参考情報:

• Unit 42: QR Codes as an Attack Vector（短縮URL・ディープリンク・APK直配布の横行、日次1.1万件超の悪性QR検出）: https://unit42.paloaltonetworks.com/qr-codes-as-attack-vector/