そのQRコード危険かも？QRコード詐欺（クイッシング）の手口とその対策

近年、QRコード決済（○○Pay等）の普及に伴い、飲食店や小売店などのあらゆる場所でQRコードを見かけるようになりました。
それ以外でも、各企業が製品の紹介やクーポンの配布、キャンペーンへの応募など幅広い用途でQRコードが活用されています。

その一方で、お得を装った偽のQRコード付きチラシを配布し、読み取った先のサイトでクレジットカード情報を入力させることで、情報を不正に窃取する詐欺などが国内で発生しております。
QRコードが身近になったことであまり疑うことなくQRコードを読み取りがちですが、サイバー犯罪者による悪用には注意が必要です。
本ページではQRコードを悪用したQRコード詐欺（クイッシング）の手口とその対策について説明します。

QRコード詐欺（クイッシング）とは？

QRコード詐欺（クイッシング：Quishing）とは、QRコードを悪用したフィッシング攻撃のことです。

攻撃者は、一見便利に見せかけたQRコードを作成し、読み取ったユーザーをなりすましサイトに誘導することで、重要情報を窃取します。また、QRコードを利用してユーザーのデバイスにマルウェアをインストールし、不正アクセスを行うケースも発生しています。なお、QRコードを作成するツールはインターネット上で多数提供されており、だれでも無料で簡単に作成することができます。

従来のフィッシング攻撃の場合、メールやSMSの本文中にアクセス先のURLが記載されているため、あやしいURLかどうかを目で見て確認することができました。しかし、QRコードの場合は、見た目ではリンク先のURLがあやしいかどうかを判別することができません。判別には、実際にそのQRコードを読み取り解析する必要があるため、導入しているセキュリティ製品によっては検知できない恐れがあり、従来のフィッシング攻撃と比較して対策が難しい状況です。

QRコード詐欺（クイッシング）の手口

ここからはQRコード詐欺（クイッシング）の手口について説明いたします。

フィッシングサイトへの誘導

攻撃者は、正規のサービスやアプリケーションに見せかけたフィッシングメールを作成し、そこにフィッシングサイトのQRコードを添付してユーザーに送信し、QRコードを読み取ったユーザーに個人情報や銀行口座の認証情報入力させるよう誘導します。

QRコードを読み取った際に表示されるURLは少し見ただけではわからないくらい正規サイトに似せていたり、短縮URLを利用することでフィッシングサイトであることを気づきにくくさせる手法も存在します。

マルウェアをダウンロードさせる

攻撃者がフィッシングメールにマルウェアを埋め込んだQRコードを添付して送信する手口も存在します。
メールを受信したユーザーがそのQRコードを読み込んでしまうとデバイスがマルウェアに感染し、攻撃者にデバイス内の個人情報などが盗まれたり、デバイスを自由にコントロールされてしまう可能性があります。

不正な取引への誘導

QRコード決済サービスの普及により、QRコードを使って支払いを促す手口も存在します。
攻撃者は急を装った文章とともに偽のQRコードを送り付け、支払いを促してきます。ユーザーはQRコードを読み込むと正規のサービスへ誘導されるため、不正な取引であると気がつかないまま支払ってしまいます。

それ以外にも、正規のQRコードの上に偽のQRコードを貼り付ける手口も存在します。古典的な方法ですが、実際に海外では駐車料金の支払いに利用するためのQRコードの上に偽のQRコードが貼り付けられ、料金を騙し取られる事件も発生しています。
また、ダイレクトメールやチラシなどに「無料クーポン配布！」などと記載してQRコードを読み取るよう促し、不正に名前や電話番号などの個人情報を摂取しようとする手口もあり、今後ますます巧妙になっていくことが予想されます。

QRコード詐欺（クイッシング）の対策

ここからはQRコード詐欺を回避するための対策についてご説明いたします。

あやしいQRコードは読み取らない

知らない連絡先からQRコード付きのメールを受け取った場合は、そもそも読み取らないことが重要です。
特にメール本文にパスワードのリセットやクレジットカード情報等の入力を求めるような記載があった場合は、注意しましょう。

また、QRコード読み取り時に表示されるURLはアクセスする前に必ず確認するようにしましょう。
一見、見覚えのあるURLであったとしても微妙に文字が変えられている可能性があります。また、短縮URLが利用されている場合は、悪意のあるURLが隠されている可能性もあるため、要注意です。 正しいURLであっても、QRコードから遷移したページでは、ログイン情報や個人情報の入力は避けた方が良いでしょう。

なお、事業者側も短縮URLを利用してQRコードを作成している場合は注意が必要です。
短縮URLは大変便利な仕組みである一方で、無料で使える短縮URLサービスの中には直接リンク先には飛ばずに、広告ページを表示させてから遷移させるようなサービスもあります。仮に表示された広告が悪意のある広告であった場合、事業者側が作成したQRコードを読み込んだ利用者に予期せぬ被害が発生する可能性があります。
また、今は広告ページが表示されていなくても、今後短縮URLを提供するサービス事業者側が広告ページを表示するよう仕様を変更したり、意図せずサービス提供が終了したりする可能性もありますので、そうしたリスクも踏まえたうえで利用するようにしましょう。

安全なQRコードリーダーを利用

QRコードリーダーは、便利で使いやすいアプリが無料で提供されているため利用されている方も多いと思います。

そうした中で、2021年2月にGoogle Play上で1,000万回以上ダウンロードされていたバーコードアプリ「Barcode Scanner」にマルウェアが仕込まれるという事件がありました。 問題発覚後、Google Playストアからアプリは削除されましたが、このアプリをインストールしたユーザーの端末から削除されるわけではないため、ユーザー自身で対応する必要がありました。

このようにこれまで問題がなかったアプリに突然マルウェアが仕込まれる可能性があります。そのため、QRコードリーダーはスマートフォンにデフォルトで内蔵されているQRコードスキャナーを利用するのが良いでしょう。

（出典：Malwarebytes Labs　Barcode Scanner app on Google Play infects 10 million users with one update）

ウイルス対策ソフトを導入する

QRコードにマルウェアが埋め込まれる手口への対策としてはウイルス対策ソフトの導入が有効です。もしマルウェアに感染してしまうと、デバイス内の個人情報などが盗まれたり、デバイスを自由にコントロールされてしまう可能性があります。
また、デバイスのOSやアプリケーションは常に最新のセキュリティパッチを適用するようにしましょう。

セキュリティ教育で最新の手口を知る

フィッシングメールは日々その手口が巧妙化しています。従業員へそうした最新の手口やその対策を含めたセキュリティ教育を実施し、日頃から被害に遭わないための予防策を周知徹底しましょう。
また、攻撃を実際に受けてしまったことを想定した訓練を定期的に行うことも有用です。社内で教育、訓練を行うことで、万一攻撃を受けた場合でも焦らずに対応できるでしょう。

ALSOKがおすすめするサービス

ALSOKでは巧妙化するフィッシング攻撃への対処訓練として以下のサービスを取り扱っています。

ALSOK 標的型攻撃メール訓練

ALSOKでは「ALSOK 標的型攻撃メール訓練」を提供しています。QRコード詐欺（クイッシング）はQRコードの性質から導入しているセキュリティ製品によっては悪意のあるURLであっても検知できない可能性があることはご説明しました。しかしながら、こうした攻撃があることを事前に知っていれば受信者自身で必要な対策をとることが可能です。
当社ではそのための「攻撃メール疑似訓練」をご用意しております。一人ひとりが疑似的な攻撃メールを体験することで、フィッシングメール対する従業員のリテラシー向上を図ることが可能です。リテラシー向上により、情報漏えいなどのリスクを未然に防ぐことにつながります。
また、訓練後は訓練結果に基づいて、各従業員に適切なeラーニングを提供します。訓練して終わりではなく、知識の定着までフォローアップできるため、組織全体のサイバーセキュリティに対する意識を向上させることができます。

まとめ

※「QRコード」は、株式会社デンソーウェーブの登録商標です。