スマホの普及とともに生活に浸透しはじめた四角いギザパターンといえばQRコード。スマホ決裁や各種ポイントの登録など、非接触が求められるコロナ禍にあって急速に普及しました。レストランのメニュー表示など、あらゆる用途で広く使われるようになって、悪用されるケースが報告されるようになりました。

●QRコードとは

 QRコードは、1994年にデンソーウェーブで開発された機械で読み取り可能なバーコードです。QRは「Quick Response」の略語で、デジタル機器ですばやく情報を読み取ることができます。

 QRコードには、最大4,296文字の英数字を格納できますが、一般的なコードはスマートフォンのカメラで簡単に読み取れるよう、使われる文字数は少ないです。なお、格納された文字列は、読み取りアプリによって、Webサイトを開く、ファイルをダウンロードする、連絡先を追加する、Wi-Fiに接続する、支払いをするなど、その後の動作が決定します。QRコード自体は危険ではないのですが、動作を決定するデータとアプリには注意が必要です。

●悪用されるQRコード

・不正なサイト誘導、機密情報詐取
→不正なQRコードのステッカーを用いて、偽の決済サイトへ誘導
 偽造されたQRコードステッカー型詐欺など、正規のWebサイトのように見せかけた偽のWebサイトに誘導するQRコードを作成して配布。QRコードは人間が読み取ることは困難であり、カメラアプリで読み取ると自動的に埋め込まれたURLにアクセスするため、フィッシングキャンペーンなどに悪用されるケース。

・端末に不正ファイルをダウンロード
→悪意のあるPDFファイルや不正なモバイルアプリをダウンロード

・端末を不正に操作
→QRリーダーでも起動できる基本的な操作を悪用
 脆弱なWi-Fiへ接続、電子メールやショートメッセージの送信、連絡先の保存。

・電子決済を流用、金銭要求
→決済アプリによる、不正送金
 QRコードを改ざんし、攻撃者の用意した口座に送金。

・ログイン情報を不正入手、アプリへ不正アクセス
→攻撃者は対象のサービスになりすまし、偽のQRコードをユーザーにスキャン
 「QRLハイジャック」(QRログイン)とも呼ばれ、攻撃者は、名前とパスワードを入力する代わりにQRコードを読み取らせることでログインを行う認証方式を悪用。通常はログインする度に新しいQRコードを生成するが、攻撃者はさまざまな手法を用いてQRコードを盗み出し、認証済みセッションを奪取するケース。


●QRコードを安全に利用するためのポイント

・決済アプリなどQRコードをスキャンする前に、お店などのステッカーの状態を確認(上貼りされていないかどうか)。

・街角や送信元不明のQRコードを安易にスキャンしない。

・金融取引にQRコードを使用する場合は特に注意し、別の決済手段の利用を検討。

・QRコードの読み取りから、Webサイトを開く、ファイルをダウンロードする、Wi-Fiに接続するといった操作が自動的に実行されないよう、オプションを無効化しておく。

・QRコードの読み取りから、表示されたURLが正規のものであることを確認し、不審に感じたら、ブラウザーを開いて自身でURLを入力。

・QRコードから遷移したWebサイトでは、ログイン情報や個人情報の入力は避ける。

・アプリへのアクセス、あるいは書類や健康診断書などに含まれるQRコードなど、個人の機密情報が含まれるQRコードは他人と共有しない。

・QRコードを扱うことを前提に、アプリを常に最新の状態に保ち、セキュリティソフトを利用。

 目視でQRコードの内容を判断することはできません。不審に感じたら、QRリーダーに表示された文字列やURLを確認し、そのまま遷移させたり、動作を実行させたりする前に、スマホとは別のPCでチェックしてみることをオススメします。

<参考サイト>
・TECH+:実は危険なQRコード、便利さの裏にあるセキュリティリスクとは?
https://news.mynavi.jp/techplus/article/20220223-2278260/