QRコードの利用が浸透し、こうした状況を詐欺師も注目している。白黒の小さな四角形の中に潜む危険に注意し、安全に利用するためのポイントを解説する。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
QRコードの時代がやってきた。この小さな四角形のコードは1994年から使われるようになったが、コロナ禍前までは一般に広く普及してはいなかった。しかし最近では、どこでも目にするようになっている。レストランのメニュー表、非接触の決済、あるいは感染追跡アプリに至るまで、あらゆる用途でQRコードが使われている。
しかし、ほかの一般的な技術と同様に、QRコードが広く使われるようになるにつれ、不正な目的で悪用しようとする詐欺師に目をつけられるようになった。このことはFBI(米国連邦捜査局)も警告している。この記事では、QRコードを悪用した詐欺の手口と、QRコードをスキャンする際に注意すべきことについて解説する。
QRコードとは
QRコードのQRとは「Quick Response」の略である。機械で読み取り可能なバーコードの一種であり、その名のとおり、デジタル機器で瞬時に読み取り、認識できるよう設計されている。QRコードには最大4,296文字の英数字を格納できるが、一般的にはスマートフォンのカメラで簡単に読み取れるよう、使われる文字数は少ない場合が多い。
QRコードに格納される文字列には、さまざまなデータが含まれる。そして、QRコードを読み取ったアプリによって、その後の動作が決められる。例えば、Webサイトを開く、ファイルをダウンロードする、連絡先を追加する、Wi-Fiに接続する、支払いをするなど、さまざまな用途がある。QRコードは汎用性が高く、ロゴを含めるなどのカスタマイズも可能だ。動的なQRコードは、いつでも内容や操作を変更することも可能だ。しかし、この汎用性の高さが諸刃の剣となってしまう場合もあるのだ。
QRコードは、どのように悪用されるのか
詐欺師はQRコードの使用例や悪用できる可能性を周知している。以下では、詐欺師がQRコードを悪用してどのようにデータや金銭を盗むのかについて説明する。
1) 不正なWebサイトへ誘導し、機密情報を詐取する
フィッシング攻撃は、電子メールやインスタントメッセージ、テキストメッセージだけで拡散されるわけではない。QRコードでも同様の手口が見られる。特に、人通りの多い場所や銀行・金融機関の近辺にある広告に掲載されたものであれば、注意が必要だ。有名なものとしては、テキサス州の複数の都市で、公共のパーキングメーターに不正なQRコードのステッカーが貼られ、偽の決済サイトへ誘導させる事件があった。
オースティン市警察署
詐欺の警告
オースティン市警察の金融犯罪課では、オースティン市の公共パーキングメーターで見つかった不正なQRコードステッカーについて調査を進めている。これらのQRコードで駐車料金を支払おうとした人が偽のWebサイトに誘導され、支払ってしまった可能性がある。
2) 端末に不正なファイルをダウンロードさせる
多くのバーやレストランでは、QRコードを用いてPDF形式のメニューをダウンロードさせたり、注文用のアプリをインストールできるようにしている。攻撃者は、QRコードを容易に改ざんし、利用者を騙して悪意のあるPDFファイルや不正なモバイルアプリをダウンロードさせようとする。
3) 端末を不正に操作する
QRコードは、端末上で何らかの操作を行わせることが可能だ。こうした操作はスキャンするアプリ(QRコードリーダー)によって異なる(実際、偽のバーコードスキャンアプリには注意が必要だ)。しかし、どのQRリーダーでも起動できる基本的な操作もある。例えば、Wi-Fiへの接続、定型文による電子メールやショートメッセージの送信、連絡先の保存などだ。これらの操作自体は悪意のあるものではないが、脆弱なネットワークへ接続させたり、被害者になりすましてメッセージを送信させたりする恐れがある。
4) 資金を流用させる、あるいは金銭を要求する
最近は多くの決済アプリで、送金先のデータを含んだQRコードを介して支払いが行えるようになっている。支払いを円滑に進められるよう、顧客にコードを表示する店舗も多い。しかし、攻撃者がこれらのQRコードを改ざんし、攻撃者の口座で支払いを受けることも可能だ。また、購入者を騙すため、不正な送金依頼のコードが生成される場合もある。事実、支払いのための偽のQRコードによって騙された事例が報告されている。
5) ログイン情報を盗み、アプリへ不正にアクセスする
QRコードは、身元の証明やワクチン証明書といった、個人を認証する証明書として使われるケースも多い。このような場合、個人情報や診療記録と同様に機密性の高いデータがQRコードに含まれることを意味する。そして、攻撃者はQRコードをスキャンするだけで簡単に機密情報を入手可能となる。
確かに、WhatsApp、Telegram、Discordといった多くのアプリがQRコードを使用し、アカウントへアクセスするための認証処理を行っている。既にWhatsAppがQRLジャッキング攻撃に遭っているように、攻撃者は標的としたサービスになりすまして、偽のQRコードをユーザーにスキャンさせることが可能だ。
多くの場合、攻撃者は悪意のあるQRコードを生成し、元のコードを置き換える必要がある。つまり、被害につながる操作(QRコードの読み取り)へ導くよう、ソーシャルエンジニアリングを駆使して標的を欺こうとするのだ。
最後に、QRコードをスキャンする前に考慮するべきことを紹介しておく。
安全にQRコードを利用するためのポイント
- QRコードをスキャンする前に、改ざんされていないか確認する。例えば、別のQRコードが隠されていないか注意する。
- たまたま見かけたQRコードや、知らない送信元から受け取ったメールに記載されているQRコードを安易にスキャンしない。
- 電子メールやメッセージングアプリに含まれたリンクや添付ファイルを扱うときと同じように、QRコードの取り扱いにも注意を払う。
- 請求書の支払いや、そのほかの金融取引にQRコードを使用する場合は特に注意する。別の決済手段の利用を検討する。
- QRコードの読み取り時に、Webサイトを開く、ファイルをダウンロードする、Wi-Fiに接続するといった操作が自動的に実行されないよう、オプションを無効化する。
- スキャン後は、そのURLが正規のものであることを確認する。正しいURLだとしても、QRコードから遷移したWebサイトでは、ログイン情報や個人情報の入力は避けた方がよい。少しでも不審に感じたら、ブラウザーを開いて自身でURLを入力しよう。
- アプリへのアクセス、あるいは書類や健康診断書などに含まれるQRコードなど、機密情報が含まれるQRコードは他人と共有しない。
- QRコードを生成する際は、信頼できるサービスを利用する。QRコードが本物であり、想定された操作が実行されることを確認できるサービスが望ましい。
- アプリを常に最新の状態に保ち、セキュリティソフトを利用する。