QRコードが、サイバー犯罪者に悪用されています

Emma McGowan 27 1 2022

QRコードを使ってアクセスしたウェブサイトには、機密情報を入力しないようにしましょう。

新型コロナウイルス感染症の拡大以降、「非接触」に注目が集まり、あらゆるところにQRコードが出現するようになりました。コンビニはもちろん、レストランのメニューなどでもQRコードが使われているところを見かけた方も多いのではないでしょうか?

2022年1月、米国テキサス州オースティンで、不正なQRコードが20以上のパーキングメーターで発見されました。QRコードを利用したオンライン詐欺は今回が初めての可能性がありますが、専門家は以前からこのリスクに関して警告してきました。

アバストのシニアグローバル脅威コミュニケーションマネージャー(Senior Global Threat Communication Manager)であるクリストファー・バッド(Christopher Budd)は、次のように述べています。「このような詐欺が実行されるまでにこれほど時間がかかったことに驚いています。今回確認された不正なQRコードは、駐車場の精算機に貼り付けられており、それを読み込むと、支払い画面を装った不正なウェブサイトに誘導されます。これは、多くの人が駐車料金を支払うウェブサイトがどのようなページなのかを知らないことを悪用した詐欺です。」

また、このオンライン詐欺は、ほかの同様の攻撃につながる可能性が高いとも指摘しています。サーバー犯罪者は「オープンソースコミュニティ」 のように、ほかの攻撃者が行っている犯罪を基に新たな犯罪を構築していくのです。QRコードを使った攻撃が確認された現在、ほかにも同様な攻撃が現れないか、用心しなければいけません。

バッドはさらに、次のようにも話します。「QRコードを通してアクセスしたウェブサイトで決済したり、個人情報を入力したり、アプリをダウンロードすることは控えましょう。QRコードからアクセスするウェブサイトは、レストランのメニューのように、閲覧するだけのサイトにとどめましょう。」

また、一般的にスマートフォンはPCよりもセキュリティが強力と言われていますが、それはスマートフォンのOSが最新のものである場合に限ります。更新されていないOSには、攻撃者が悪用できる脆弱性が存在するかもしれません。

「ユーザーをQRコードからウェブサイトに誘導し、そのウェブサイトにて支払いを求める企業が増えると、この方法での支払いは安全だと考えるユーザーが増えます。実際、オースティンでは、正規の駐車場の精算機にQRコードは導入しておらず、これは正しい施策です。」

QRコードを使用しなければいけない際は、以下のことに注意しましょう。

  1. スマートフォンのOSが最新の状態であることを確認する
  2. QRコードを通してアクセスしたウェブサイトで決済をしない
  3. QRコードを利用してアプリをダウンロードしない
  4. QRコードを通してアクセスしたウェブサイトに個人情報を入力しない

QRコードはあくまでも「ナビゲーションツール」として考え、むやみに読み込まないようにしましょう。

この記事は2022年1月14日に公開されたMalicious QR codes found in Austinの抄訳です。

関連記事

--> -->