米国で、交通違反の「督促通知」を装ったSMSフィッシングが新たな進化を遂げている。従来のリンク付きテキストメッセージから、裁判所通知の画像にQRコードを埋め込む手法へと切り替わり、セキュリティ研究者やフィルタリングシステムによる検知を意図的に回避しようとしている。
何が起きているのか
攻撃者は「ニューヨーク刑事裁判所」などの公的機関を名乗り、「未払いの交通違反がある。今すぐ支払わなければ法廷に出頭せよ」という内容のSMSを送りつける。メッセージには画像ファイルとして偽造された公式通知書が添付されており、その中にQRコードが印刷されている形をとっている。
QRコードをスキャンすると、まずCAPTCHA(人間確認)ページへ誘導される。これをクリアすると今度は州のDMV(車両管理局)を模倣したフィッシングサイトへリダイレクトされ、「未払い残高 $6.99」の支払い手続きを促す。最終的には氏名・住所・電話番号・メールアドレス・クレジットカード情報が盗まれる仕組みだ。
なぜ「画像+QRコード」なのか
この手法が巧妙なのは、セキュリティ対策の盲点を突いている点だ。
① テキストリンクを含まない 多くのSMSフィルターやメールゲートウェイは、不審なURLを検出してブロックする。しかしQRコードは画像データであり、リンクとして認識されない。
② CAPTCHAが自動解析を阻む 悪意あるURLを自動的にクロールして評価するサンドボックスや脅威インテリジェンスシステムは、CAPTCHAで足止めを食らう。人間が操作しなければ先に進めない構造にすることで、調査を困難にしている。
③ 公的機関への擬態が心理的プレッシャーを生む 「裁判所」「法的措置」「最終警告」という言葉は、受信者に焦りを与える。冷静な判断を奪い、確認せずにQRコードをスキャンさせるための社会工学的な仕掛けだ。
日本への示唆——「対岸の火事」ではない
この手口は米国固有の話ではない。日本でも宅配便の不在通知、ETC料金未払い、マイナンバー関連通知を装ったSMSフィッシング(スミッシング)はすでに広く観測されている。今後、同様の「QRコード画像添付型」が日本でも使われるのは時間の問題だろう。
特に注意が必要なのは、QRコードをスキャンする行為そのものがリスクという認識が、一般ユーザーにはまだ薄い点だ。URLを直接タップすることへの警戒心は高まっているが、「カメラをかざすだけ」のQRコードは無意識にスキャンしてしまいがちだ。
実務での対策ポイント
エンドユーザーへの啓発として伝えるべきこと:
- 公的機関(裁判所・警察・行政)はSMSで支払いを求めない
- QRコードをスキャンする前に「誰から来たか」を一度立ち止まって確認する
- スキャン先のURLを確認し、公式ドメインでなければ閉じる(
ny.gov-skd[.]orgのような偽ドメインに注意) - 少額請求(今回は$6.99、日本なら数百円程度)は心理的ハードルを下げるための罠
IT管理者・セキュリティ担当者として:
- モバイルデバイス管理(MDM)ポリシーで、業務端末でのQRコードスキャン先URLのフィルタリングを検討する
- エンドポイントのモバイルブラウザにも、フィッシング対策フィルターが有効かを確認する
- フィッシングシミュレーション訓練に「QRコード型」シナリオを追加する時期に来ている
筆者の見解
この事例を見て改めて感じるのは、攻撃者の方がセキュリティ対策の仕組みをよく理解しているという現実だ。テキストリンクが検出されるなら画像にする、URLスキャンが走るならCAPTCHAで止める——対策が進化するたびに、攻撃はその隙間を狙ってくる。
セキュリティの世界では「防御側は全部守らないといけないが、攻撃側は一点突破でいい」と言われる。だからこそ、技術的なフィルタリングだけに頼る発想には限界がある。ユーザーが「おかしいな」と感じて立ち止まれる習慣と知識を育てることが、結局は最も強固な防衛線になる。
組織のセキュリティ担当者としては、禁止や制限で固める方向に走りたくなる気持ちはわかる。しかし「QRコードスキャン禁止」のような硬直したポリシーは、業務での正当な利用まで阻害して形骸化する。**「使える仕組みを安全に使える状態にする」**という発想で、啓発と技術的補助を組み合わせるアプローチが現実的だと思っている。
今後、こうした攻撃がAI生成の精巧な偽通知画像と組み合わされれば、さらに見分けがつきにくくなる。攻撃手口の進化に対し、私たちの対策と啓発も継続的にアップデートし続けるしかない。
出典: この記事は Traffic violation scams switch to QR codes in new phishing texts の内容をもとに、筆者の見解を加えて独自に執筆したものです。