そのQRコード危険かも?QRコード詐欺(クイッシング)の手口とその対策。

そのQRコード危険かも?QRコード詐欺(クイッシング)の手口とその対策。
2023.12.27

近年、QRコード決済(○○Pay等)の普及に伴い、飲食店や小売店などのあらゆる場所でQRコードを見かけるようになりました。
それ以外でも、各企業が製品の紹介やクーポンの配布、キャンペーンへの応募など幅広い用途でQRコードが活用されています。
そうした中、2023年12月6日(米国時間)に、米連邦取引委員会(Federal Trade Commission)よりQRコードに隠された有害なリンクに注意を促す消費者向けの注意喚起が行われました。

国内においてもお得を装った偽のQRコード付きチラシを配布し、読み取った先のサイトでクレジットカード情報を入力させることで、情報を不正に窃取する詐欺も発生しています。
QRコードが身近になったことであまり疑うことなくQRコードを読み取りがちですが、サイバー犯罪者による悪用には注意が必要です。
本ページではQRコードを悪用したQRコード詐欺(クイッシング)の手口とその対策について説明します。

(出典:米連邦取引委員会(Federal Trade Commission) Scammers hide harmful links in QR codes to steal your information

セキュリティ無料相談

目次

QRコード詐欺(クイッシング)とは?

QRコード詐欺(クイッシング:Quishing)とは、QRコードを悪用したフィッシング攻撃のことです。

攻撃者は、一見便利に見せかけたQRコードを作成し、読み取ったユーザーをなりすましサイトに誘導することで、重要情報を窃取します。また、QRコードを利用してユーザーのデバイスにマルウェアをインストールし、不正アクセスを行うケースも発生しています。なお、QRコードを作成するツールはインターネット上で多数提供されており、だれでも無料で簡単に作成することができます。

従来のフィッシング攻撃の場合、メールやSMSの本文中にアクセス先のURLが記載されているため、あやしいURLかどうかを目で見て確認することができました。しかし、QRコードの場合は、見た目ではリンク先のURLがあやしいかどうかを判別することができません。判別には、実際にそのQRコードを読み取り解析する必要があるため、導入しているセキュリティ製品によっては検知できない恐れがあり、従来のフィッシング攻撃と比較して対策が難しい状況です。

QRコード詐欺(クイッシング)の手口

ここからはQRコード詐欺(クイッシング)の手口について説明いたします。

フィッシングサイトへの誘導

攻撃者は、正規のサービスやアプリケーションに見せかけたフィッシングメールを作成し、そこにフィッシングサイトのQRコードを添付してユーザーに送信し、QRコードを読み取ったユーザーに個人情報や銀行口座の認証情報入力させるよう誘導します。

QRコードを読み取った際に表示されるURLは少し見ただけではわからないくらい正規サイトに似せていたり、短縮URLを利用することでフィッシングサイトであることを気づきにくくさせる手法も存在します。

マルウェアをダウンロードさせる

攻撃者がフィッシングメールにマルウェアを埋め込んだQRコードを添付して送信する手口も存在します。
メールを受信したユーザーがそのQRコードを読み込んでしまうとデバイスがマルウェアに感染し、攻撃者にデバイス内の個人情報などが盗まれたり、デバイスを自由にコントロールされてしまう可能性があります。

不正な取引への誘導

QRコード決済サービスの普及により、QRコードを使って支払いを促す手口も存在します。
攻撃者は急を装った文章とともに偽のQRコードを送り付け、支払いを促してきます。ユーザーはQRコードを読み込むと正規のサービスへ誘導されるため、不正な取引であると気がつかないまま支払ってしまいます。

QRコード詐欺(クイッシング)の対策

ここからはQRコード詐欺を回避するための対策についてご説明いたします。

あやしいQRコードは読み取らない

知らない連絡先からQRコード付きのメールを受け取った場合は、そもそも読み取らないことが重要です。
特にメール本文にパスワードのリセットやクレジットカード情報等の入力を求めるような記載があった場合は、注意しましょう。

また、QRコード読み取り時に表示されるURLはアクセスする前に必ず確認するようにしましょう。
一見、見覚えのあるURLであったとしても微妙に文字が変えられている可能性があります。また、短縮URLが利用されている場合は、悪意のあるURLが隠されている可能性もあるため、要注意です。

正しいURLであっても、QRコードから遷移したページでは、ログイン情報や個人情報の入力は避けた方が良いでしょう。

安全なQRコードリーダーを利用

QRコードリーダーは、便利で使いやすいアプリが無料で提供されているため利用されている方も多いと思います。

そうした中で、2021年2月にGoogle Play上で1,000万回以上ダウンロードされていたバーコードアプリ「Barcode Scanner」にマルウェアが仕込まれるという事件がありました。 問題発覚後、Google Playストアからアプリは削除されましたが、このアプリをインストールしたユーザーの端末から削除されるわけではないため、ユーザー自身で対応する必要がありました。

このようにこれまで問題がなかったアプリに突然マルウェアが仕込まれる可能性があります。そのため、QRコードリーダーはスマートフォンにデフォルトで内蔵されているQRコードスキャナーを利用するのが良いでしょう。

(出典:Malwarebytes Labs Barcode Scanner app on Google Play infects 10 million users with one update

セキュリティ教育で最新の手口を知る

フィッシングメールは日々その手口が巧妙化しています。従業員へそうした最新の手口やその対策を含めたセキュリティ教育を実施し、日頃から被害に遭わないための予防策を周知徹底しましょう。
また、攻撃を実際に受けてしまったことを想定した訓練を定期的に行うことも有用です。社内で教育、訓練を行うことで、万一攻撃を受けた場合でも焦らずに対応できるでしょう。

セキュリティ無料相談

ALSOKがおすすめするサービス

ALSOKでは巧妙化するフィッシング攻撃への対処訓練として以下のサービスを取り扱っています。

ALSOK 標的型攻撃メール訓練

ALSOKでは「ALSOK 標的型攻撃メール訓練」を提供しています。QRコード詐欺(クイッシング)はQRコードの性質から導入しているセキュリティ製品によっては悪意のあるURLであっても検知できない可能性があることはご説明しました。しかしながら、こうした攻撃があることを事前に知っていれば受信者自身で必要な対策をとることが可能です。
当社ではそのための「攻撃メール疑似訓練」をご用意しております。一人ひとりが疑似的な攻撃メールを体験することで、フィッシングメール対する従業員のリテラシー向上を図ることが可能です。リテラシー向上により、情報漏えいなどのリスクを未然に防ぐことにつながります。

まとめ

QRコードはカメラアプリで読み取るだけで必要な情報にアクセスできるとても便利な仕組みです。しかしながら、悪意のある攻撃者はそれらを悪用してあなたの重要な情報を窃取しようとしています。
QRコード詐欺(クイッシング)の手口を把握し、対策を行なっておくことはITを活用する企業にとって必須とも言えるでしょう。 何も考えずに読み取ったお得なQRコードが実は偽物かもしれません。お得な情報だけでなく、QRコードの中身にも目を光らせることで安全かつ有効に活用しましょう。
情報セキュリティについてお悩みをお持ちの方は、ぜひALSOKまでお問い合わせください。

※「QRコード」は、株式会社デンソーウェーブの登録商標です。