カシ・パテルFBI長官は昨年12月16日、ポッドキャストで衝撃的な数字を明かした。「2025年の北朝鮮やロシア、中国といった敵対国家のスパイの逮捕者数は、前年比35%増加した」。この発言から3週間後の2026年1月8日、FBIは新たな脅威を警告する公式文書を発表した。北朝鮮系のハッカー集団「Kimsuky」が、QRコードを悪用した新型フィッシング手法で米国のシンクタンク、大学、政府関係者を標的にしているという。この手法は「クイッシング(Quishing)」と呼ばれている。
スマホを狙う巧妙な罠――二段階認証すら突破
クイッシングの狙いは明確だ。会社のパソコンには強固なセキュリティ対策が施されているが、個人のスマートフォンは比較的無防備。攻撃者は、守られた企業環境からセキュリティの緩い個人端末へと狙いを変えた。この戦略転換こそが、クイッシングを従来のフィッシングより危険にしている。
FBIが明らかにした攻撃事例は巧妙だ。2025年5月から6月、Kimsukyは複数のキャンペーンを展開した。外国の政策アドバイザーを装い「朝鮮半島情勢に関するアンケート調査」への回答を求める。大使館職員になりすまし「北朝鮮の人権問題について意見を聞きたい」とセキュアドライブへのアクセスを促す。そして架空の国際会議への招待――「参加登録はQRコードから」。
QRコードをスキャンすると、本物そっくりのGoogleログイン画面が表示される。ここで入力されたIDとパスワードは、すべて攻撃者の手に渡る。しかし攻撃はここで終わらない。最も恐ろしいのは、二段階認証すら突破できる点だ。
北朝鮮のクイッシングに関する警告書(FBI)
仕組みはこうだ。被害者がスマホでQRコードをスキャンすると、攻撃者のサイトへ誘導され、スマホの機種、OS、位置情報などが密かに収集される。次に、最適化された偽ログインページが表示され、IDとパスワードが盗まれる。攻撃者は盗んだ認証情報で本物のサービスにログインし、その際に発行される「セッショントークン」を奪取する。
このトークンがあれば、二段階認証の追加確認なしに被害者のアカウントへ自由に出入りできる。通常なら「認証失敗」の警告が出るはずだが、この手口ではそうした警告すら表示されない。
侵入後、攻撃者は組織内に足場を築き、乗っ取ったメールアカウントから新たなフィッシングメールを送信する。組織内部からの「正規メール」に見えるため、被害はさらに拡大する。
クイッシングが特に厄介なのは、既存のセキュリティ対策をすり抜けるからだ。企業のメールセキュリティはリンクをチェックし危険なURLをブロックするが、QRコードは画像ファイルとして送られるため素通りする。さらに攻撃の起点が「会社管理外のスマホ」であるため、企業のセキュリティシステムでは検知できない。
FBIは「クイッシングは現在、二段階認証も回避できる高度な侵入手口」と警告している。
効果的な対策は「人」と「技術」の両輪
FBIが示す対策の要点は明確で、従業員教育が最重要だ。知らない相手からのQRコードは安易にスキャンしない。「緊急」「至急」で焦らせる手口を見抜く。送信元を別の方法で確認する。こうした基本を組織全体で徹底することが第一歩だ。
技術的対策としては、スマホやタブレットを管理するシステム(MDM)の導入が有効だ。QRコードからアクセスされるサイトを事前にチェックし、危険なサイトへの接続を防ぐ。すべてのリモートアクセスに「フィッシングに強い二段階認証」を導入し、QRコードスキャン後の行動を記録・監視して不審な動きを早期検知する体制も必要だ。
実は、KimsukyがQRコードを悪用するのは今回が初めてではない。2025年12月、セキュリティ企業ENKIは、KimsukyがAndroidマルウェア「DocSwap」の配布にもQRコードを利用していたことを明らかにした。Kimsukyは、QRコード技術を多様な攻撃シナリオで戦略的に活用しているのだ。
宅配サービスを装ったクイッシングのQRコード。韓国とで「セキュリティー上の理由でPCからはアクセスできません。スマートフォンで接続してください」と書かれている。(ENKI)
パテルFBI長官が明かした「スパイ逮捕35%増」の背景には、Kimsukyのような高度化するハッカー集団の活動がある。QRコードという日常的な技術が、新たな脅威の入口になる。私たちは、便利さの裏側に潜むリスクに、これまで以上に敏感でなければならない。
後編はこちらから。
