QRコードを悪用したフィッシング《クイッシング》(2024年2月)
このタイトルにキーワードは2つあります。
1つは、「QRコード」。
今さらですが、QRコードってどんなものでしょう?
このような正方形の二次元バーコードのことです。
(ぱそぼらんど京都のホームページにリンクするQRコード)
数字だけであれば最大7,089字、英数字であれば4,296字の情報量をこの図形に含めることができるそうです。
もう1つは「フィッシング(Phishing)」。
例えば、実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取することです。電子メールのリンクから偽サイト (フィッシングサイト) に誘導し、そこで個人情報を入力させる手口が一般的に使われています。
この2つを組み合わせた「QRコードを悪用したフィッシング」のことを「クイッシング」(Quishing)と呼びます。
ホームページを開くとき、長いURLを入力するのはなかなか大変です。QRコード化してあれば、それを読み取るだけで、長い文字(テキスト)が一瞬で画面に表示されます。
あとはそのページを開くだけ。とても便利です。
でも、その時アクセスしたホームページが詐欺サイトであったら??
何も知らずに、大切な個人情報をどんどんと入力して送信してしまうことになりかねません。本人はまったく気づかず、便利だなぁ~と思いながら・・・。
(一例)
- 店舗や公共スペースに掲示されているQRコード付きの看板やポスターの正規のQRコードに偽のQRコードのシールなどを貼り付ける。
- 利用料などの決済画面にQRコードが利用されているケースで、偽のQRコードに差し替えて、利用料金を搾取する。
- 銀行になりすましたメールにQRコードを含め、アクセスするとフィッシングサイトにリンクし、銀行の認証情報を盗み取る。
- Microsoft365の認証情報を入手するためのQRコードを利用して、不正なログインページにリンクさせる。
QRコードの正当性は、一見ではわかりませんし、多くの場合は、長い文字を自動的に読み取ってくれる便利で有難いものですが、その利便性とスマホなどの普及により、このように悪用する事例が増えているそうです。本物とそっくりなサイト、小さなスマホの画面であればなおさら、偽サイトであることに気付きにくいかもしれません。
それでは、どのように対策をすれば良いのでしょうか。
トレンドマイクロ社では、次のような方法を案内しています。
(参考:「QRコードを悪用した詐欺手口と対策を解説」)
- 個人情報を入力する前に、リンク先の政府機関やその他の公的サービス提供者のウェブサイトが正規のものであることを確認する。URLに誤字脱字がないか確認する。
- 知人や団体から送られてきたメールに記載されているQRコードを読み取る前に、再度安全性について確認する。銀行、企業等のアカウントでは、多要素認証を有効にして、ログイン情報の盗難を防ぐ。
- 加盟店などで直接支払いをする際には、QRコードを確認し、正規のQRコードの上に不正なシールが貼り付けられていないかどうかを確認する。
- QRコードでの支払いは、信頼できる加盟店やサービス提供者及び知人と直接取引する場合に限定する。
- アプリから権限の付与を要求された場合、不正なアプリの可能性もあるため、十分に注意する。
- QRコードの読み取りには、デバイスにデフォルトとして設定されたカメラアプリを使用する。
トレンドマイクロ の「Trend Micro QR Code Scanner for Android」や「Trend Micro™ Mobile Security for iOS and Android」により、QRコードをテストスキャンし、危険なウェブサイトへのリンクが含まれているかどうかを確認することも可能である。 - ウイルスやマルウェア対策用のモバイルセキュリティアプリをインストールして、スマートフォンの安全・安心を守る。
最近は、様々な申込みにホームページのフォームが利用されています。QRコードを読み取って開いた先が、無料で手軽なGoogleフォームなどでは、その団体のサイト(ドメイン)以外のURLの場合もよくあります。「これって、大丈夫?」疑う方は少ないと思います。QRコードからアクセスした場合でも、入力する際は、今まで以上に注意深く、ちょっとでも気になることがあれば、入力を控えたり、その団体のトップページからアクセスしなおすなど、一工夫をするのも良いでしょう。
せっかくの便利な機能、有効に使いながら、自分の身は自分で守ることも心掛けたいものです。
by nagako
