結論から言えば、QRコードには「本物かどうか」を利用者が確かめる仕組みが元々ありません。この弱点を突くのがクイッシング(QRコードを悪用したフィッシング)です。今回紹介する査読前の研究は、QRコード自体に電子署名(EdDSA)を埋め込み、読み取り側で真正性を検証するという発想で、この根本問題に挑んでいます。すぐ自社に導入できる話ではありませんが、「なぜQRは危ういのか」を理解する良い教材です。
この記事でわかること
- クイッシングがなぜメールフィルタやEDRをすり抜けやすいのか
- QRコードに署名を付ける今回の研究のアイデアと2つの方式
- 研究の限界(査読前・普及の壁)と、情シスがいま現実に取れる対策
クイッシングとは何か、なぜ情シスに厄介なのか
クイッシング(quishing)とは、悪意あるURLをQRコードに変換し、読み取らせて偽サイトへ誘導するフィッシングの一種です。フィッシング対策協議会も2024年8月に、カード会社をかたるメールにQRコードを貼り付けて偽ログインページへ誘導する手口を注意喚起しています。
情シスにとって厄介なのは、次の3点です。
- 検知しにくい:QRは「画像」として扱われるため、URLをテキストで走査するメールセキュリティ製品では中身を見抜きにくい。
- 会社の防御網の外で読まれる:多くの人が個人のスマートフォンで読み取るため、社内プロキシやEDRの管理下を外れやすい。
- 物理的な貼り替えに弱い:ポスターや駐車場精算機など、公共の場に貼られた正規QRの上に偽シールを重ねられても、見た目では気づけない。
つまりクイッシングは、技術的な防御と人の注意の「境界」をすり抜けてくる攻撃だと言えます。
今回の研究:QRコードに「署名」を付けて真正性を検証する
ここで紹介するのは、Wojciech Jonderko氏とWojciech Wodo氏による論文「Secure QR Codes: Authenticity Verification via EdDSA Signatures and CBOR Certificates」(arXiv:2607.08383、2026年7月公開)です。査読前のプレプリントであり、結果や評価は今後変わりうる点を最初にお断りしておきます。
どんな研究か(1文要約)
QRコードが持てるデータ量の制約の中に電子署名と証明書を収め、読み取ったQRが「正規の発行者が作ったもので、改ざんされていない」ことを検証できるようにする枠組みの提案です。
提案された2つの方式
論文は用途に応じた2方式を示しています。要点を整理すると次のとおりです。
| 方式 | 仕組みの概要 | 向いている場面 | 弱点 |
|---|---|---|---|
| 完全オフライン署名 | EdDSA(Ed25519)署名+CBORで符号化した証明書+ZLIB圧縮を、QRの容量内に収める。通信なしで検証可能。 | ネットワークに常時つながらない機器(駐車場精算機など) | 鍵の失効(revocation)を即時に反映しづらく、大規模展開ではスケールしにくい。 |
| ハイブリッドWeb PKI | QRにはURLフラグメント等を持たせ、JWKSエンドポイントと中央トラストレジストリを使ってリアルタイムに検証。既存QRとの後方互換も意識。 | 多数のIoT機器を運用し、鍵の失効管理が要る大規模環境 | 検証時にオンライン接続と、信頼レジストリの運用基盤が必要。 |
何が新しいのか
「QRは容量が小さいから本格的な暗号は載らない」という通念に対し、符号化と圧縮を工夫すれば実運用に足る署名・証明書がQRの制約内に収まることを具体的に示した点が新しさです。オフライン検証と、失効に対応できるオンライン検証を用途で使い分ける設計になっています。
実務へのインパクト:情シスはどう受け止めるべきか
正直なところ、この仕組みが街中のQRコードに普及するには時間がかかります。QRを「貼る側(発行者)」と「読む側(スマホやアプリ)」の双方が対応しなければ意味がなく、標準化と読み取りアプリ側の普及という高い壁があるからです。個々の企業がすぐ導入できる製品ではありません。
それでも、情シスにとって示唆は小さくありません。「QRは信頼の連鎖を検証できない」という弱点を、技術的に言語化してくれているからです。現場では「有名企業のポスターにあるQRだから安全だろう」といった曖昧な信頼で運用が回りがちですが、その前提が崩れることを設計レベルで突きつけてくれます。社内のQR活用(受付、資産管理、キャンペーン等)を棚卸しし、「そのQRは誰でも貼り替えられる場所にないか」を見直すきっかけとして使えます。
限られた人員で、社員個人のスマホでの読み取り挙動まで管理するのは現実的に困難です。だからこそ、技術で全部を塞ごうとするより、「怪しいQRは読まない・読んだ先で認証情報を入力しない」という運用ルールと啓発を土台に据えるのが、当面は最も費用対効果が高いと感じます。
限界・留意点
- 査読前の研究である点。第三者の検証を経ておらず、性能評価や安全性の主張は今後変わる可能性があります。
- 普及には発行側・読取側の両対応が必須。1本の論文の提案がそのまま標準になるわけではありません。
- オフライン方式は鍵失効の即時反映が難しいなど、運用上の課題が残ります。
- 署名は「発行者の真正性」を保証しても、その発行者自身が悪意を持つケースや、正規サイトが乗っ取られた場合は守れません。過信は禁物です。
情シスがいま取れる対策(公的指針への誘導)
署名付きQRの普及を待つ間も、できることはあります。まずは公的機関の指針と注意喚起を参照するのが近道です。
- フィッシング対策協議会の緊急情報・注意喚起(最新の手口を把握):https://www.antiphishing.jp/
- IPA「対策のしおり」(エンドユーザ啓発の教材として活用):https://www.ipa.go.jp/security/guide/shiori.html
- IPA「中小企業の情報セキュリティ対策ガイドライン」:https://www.ipa.go.jp/security/guide/sme/index.html
運用の勘所としては、(1)メール内のQRは原則読まず公式アプリやブックマークからアクセスする、(2)読み取った先で認証情報やカード情報を入力する前に必ずURLと運営元を確認する、(3)フィッシングは最終的に認証情報の窃取につながるためアカウント乗っ取りの実例を教材に社内で共有する、といった地道な啓発が効きます。技術面では、読み取りが個人端末に逃げやすい以上、EDRだけに頼らず、ゼロトラスト的に「認証のたびに検証する」考え方を組み合わせるのが現実的です。
まとめ
- クイッシングは、QRが真正性を検証できない弱点と、個人端末で読まれ防御網を外れやすい性質を突く攻撃です。
- 今回の査読前研究は、QRに電子署名(EdDSA)と証明書を埋め込み真正性を検証する2方式を提案。ただし普及には発行側・読取側の両対応という壁があります。
- 署名付きQRの普及を待つより、当面は「怪しいQRは読まない・入力しない」の啓発と、公的指針の活用が最も効きます。
出典
- W. Jonderko, W. Wodo「Secure QR Codes: Authenticity Verification via EdDSA Signatures and CBOR Certificates」arXiv:2607.08383(2026年7月):https://arxiv.org/abs/2607.08383
- フィッシング対策協議会「QRコードから誘導するフィッシング(2024/08/28)」:https://www.antiphishing.jp/news/alert/qr_20240828.html
- IPA 情報セキュリティ・ポータル/各種ガイドライン:https://www.ipa.go.jp/security/

