11月の概況

2023年11月（11月1日～11月30日）にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。

国内マルウェア検出数^*1の推移
(2023年6月の全検出数を100%として比較)

*1 検出数にはPUA (Potentially Unwanted/Unsafe Application; 必ずしも悪意があるとは限らないが、コンピューターのパフォーマンスに悪影響を及ぼす可能性があるアプリケーション)を含めています。

2023年11月の国内マルウェア検出数は、2023年10月と比較して増加しました。検出されたマルウェアの内訳は以下のとおりです。

国内マルウェア検出数^*2上位（2023年11月）

*2 本表にはPUAを含めていません。

11月に国内で最も多く検出されたマルウェアは、DOC/Fraudでした。
DOC/Fraudは、詐欺サイトへのリンクまたは詐欺を目的とした文章が書かれているWordファイルです。主にメールの添付ファイルとして確認されており、2023年ではセクストーション（性的脅迫）を目的としたものが確認されています。

利用の広がるQRコード

携帯電話の登場とともに、画像で簡単にURLや連絡先をやり取りできるツールとしてQRコードは広く世の中に普及しました。近年、政府のキャッシュレス決済推進^*3を背景に、QRコード決済という新しい利用の形も急速に広まっています。

*3 総務省 | 統一QR「JPQR」の普及によるキャッシュレス化の推進

コンビニや自動販売機を利用する際に活用している方や財布を持ち歩く頻度が減ったという方もいるのではないでしょうか。
旧来のデータ共有の手法としても、チラシや広告など至る所でQRコードを目にします。
来年以降も、こうした利用シチュエーションは増えていくものと思われます。

利用の広がるQRコードですが、実は多くの悪用事例が発生しています。
2023年11月にも、QRコード生成サービスに関連したトラブルが発生していました。
今月のマルウェアレポートでは、QRコードを悪用する手法とどのような対策が必要かを紹介します。

QRコードの仕組み

まず、簡単にQRコードの仕組みを紹介します。
QRコードはマトリクス型二次元コードに分類されます。マトリクスとは数学の行列を指しており、QRコードは正方形の縦横からなるセルを白と黒で塗り分けることで、0と1で構成された行列のようにデータを表すことができます。

QRコードと行列の相互変換イメージ

上図に示したのはあくまでもイメージであり、実際にはより複雑な変換を行っていることに注意してください。
縦と横のセルの数はQRコードのバージョンによって決まっており、バージョン1であれば21セル、最大のバージョン40であれば177セルを並べることができます。

最小と最大のQRコード

上図に示したのは、ともにサイバーセキュリティ情報局のトップページのURLを埋め込んだQRコードです。埋め込まれたデータが同じでも、バージョンによって異なるQRコードになることがわかります。

QRコードが持てるデータ量は、バージョン40でも2,953バイトと決して大きくはありません。これは漢字や仮名文字を用いた文章であれば、約1,800文字程度です。インターネットを介すれば一瞬で送ることができるデータ量ですが、画像経由で高速かつ手軽にやり取りできるのがQRコードの魅力です。
商品や情報の識別や管理に使用されるコードという意味では、QRコードはバーコードの仲間と考えることができます。しかし、バーコードは一次元コードであるため、情報の密度や誤り訂正機能の点でQRコードの方が優れています。

QRコードが備える便利な機能をいくつか紹介します。

●ファインダパターン
QRコード内には、いくつかの小さな正方形が配置されています。これがファインダパターンです。ファインダパターンによって、どの角度からQRコードを読み取っても正しいデータを得ることができます。

●誤り訂正機能
QRコードには誤りを訂正する機能が備えられています。それによって、QRコードの一部が汚れていたり、破損していたりしても正しい読み取りを行うことができます。

QRコードを悪用したフィッシング

QRコード決済や会員登録のためのリンクなど、QRコードが利用されるシチュエーションには金銭の支払いが絡むシーンや個人情報を入力するシーンが目立ちます。
また、不審なメールに添付されていたURLやSNSのリンクと比べて、公式に提供されているQRコードはどうしても警戒心が緩む傾向にあります。
攻撃者はこのような状況や心理を利用して、巧妙なフィッシング詐欺を行います。こうした悪用のパターンについて紹介します。

●QRコード生成サービス
無料のオンラインサービスとして、無数のQRコード生成サービスが提供されています。URLやメールアドレス、文字列を入力して、オプションを設定すると、それに応じたQRコードを生成してくれるサービスです。
非常に便利なサービスですが、中にはフィッシングを目的として提供されているQRコード生成サービスもあります。

そうした悪意のあるサービスを利用すると、QRコードのリンク先が自分の設定したWebページから、サービス側が設定したフィッシングサイトにすり替えられてしまう可能性があります。すり替えられたQRコードが広告などに掲載された場合、厄介なフィッシングの構図が出来上がります。「公式のQRコードだから」と信頼した利用者は、そのQRコードを通じてフィッシングサイトに誘導されてしまいます。

利用者がフィッシングサイトに誘導される流れ

●QRコードの偽装
駅など街中には、数多くのQRコードが掲載された広告が貼られています。利用者はQRコードを読み取るだけで、公式サイトにアクセスしたり、会員登録を行ったりすることができます。
QRコードの偽装では、それらの広告を利用し、QRコードの部分に上から別のQRコードをシールで貼り付けます。二重になっていることに気付かずQRコードを読み取った利用者は、フィッシングサイトなど悪意のあるアクセス先に誘導されます。
こうした攻撃は利用者の警戒が緩みやすいという点で、攻撃者にとってリターンが大きいと推測できます。また、仕組みが単純なため、誰でも簡単に再現できてしまいます。

上に挙げた二例は、QRコードを利用する人々が注意深く確認すれば被害を未然に防げる可能性があります。しかし、日常生活で何気なく利用するQRコードに対し、常に警戒し続けられる人は多くはありません。だからこそ、事前に正しい対策を理解することが大切です。

QRコードの悪用への対策

QRコードの悪用への対策は、提供者と利用者の両面で考えることができます。

QRコードを提供する側で行える対策としては、以下のようなものが考えられます。

• QRコードは信頼できる方法で作成する
• 実際に操作して、QRコードが想定どおりに機能しているか確認する
• QRコードが悪用されていないか定期的に確認する

プログラミングの知識があれば、Pythonのライブラリーなどを用いてQRコードを生成することもできます。QRコードに限らず、外部のサービスを利用するときは、サービス内部で行われている処理がブラックボックスであることに留意してください。

利用者側で行える対策としては、以下のようなものが考えられます。

• カメラアプリの設定を確認し、自動的にアクセスする機能などがあればオフにする
• 読み取りには信頼できるアプリを使用する
• ブラウザーの設定を見直す
• アプリやOSのバージョンは可能な限り最新の状態にする
• セキュリティソフトを使用する

まとめ

キャッシュレス決済での利用が拡大しているQRコードについて仕組みを解説し、どのように悪用されるのかを紹介しました。
QRコードは非常に便利な技術であり、今後も利用が広がるものと思われます。一方で、利用シーンやその特性から攻撃者のターゲットにもなっています。
未知の攻撃に対しては、対策や警戒も難しいものです。だからこそ、どのような技術が使われているのか、どのように悪用される可能性があるのかを理解することが重要です。 提供者や利用者に求められる対策について、「QRコードの悪用への対策」の項で紹介しました。安全かつ便利に技術を活用するために、QRコードを使用する環境を見直し、上記の対策を実施してみてください。