自分では、メニューの QR をスキャンしているつもりでした。
あるいは、駐車料金を支払っていたはず、玄関先に残された不在通知を確認していたはずでした。簡単なスキャン操作、見慣れたロゴ、スマホにすぐ現れるページ。
不審な感じはまったくありませんでした。
それこそまさに、QR コード詐欺が急速に広まっている理由です。
QR コードはすっかり、日常生活に浸透しました。レストランのテーブルや公共の標識でも、メールやメール ソフトでも、決算画面でも見かけます。URL を入力するより速い、アプリをダウンロードするより簡単、リンクをクリックするより安全、そんな近道として当たり前になっています。
詐欺師はそこを狙ってくるのです。
怪しいリンクなどをクリックするよう誘導するかわりに、ごく普通に見える QR コードをスキャンさせようとします。スキャンして転送される先は、偽のログイン ページ、支払い請求、悪意のあるサイトなどで、いずれも怪しまれないうちに個人情報を盗み出すことを意図して設計されています。
これが QR コード詐欺の手口であり、「クイッシング」とも呼ばれています。
身のまわりでリンクがどんどん QR コードに移行しているので、オンラインで安全を保つには、クイッシングの仕組みを理解することが欠かせません。
クイッシングとは何か
クイッシングはフィッシングの一種です。クリッカブルなリンクのかわりに QR コードを利用し、人を欺いて悪意のあるウェブサイトへ誘導したり、機密情報を引き出したりします。
「QR」と「フィッシング」を組み合わせた単語であり、詐欺の手口が単純ながら危険な方向へ変化したことが端的に表れています。クリックではなくスキャンするように誘導する手法だからです。
偽の QR コードをスキャンしてしまうと、その先には以下のようなワナが待っています。
- クレデンシャルを狙うログイン ページ
- 支払い請求や偽の請求書
- マルウェアのダウンロード ページ
- 偽のカスタマー サポート ポータル
- サブスクリプション トラップ
QR コードでは、クリックする前から URL が見えているわけではないため、詐欺の目印としてわかりやすい危険信号がありません。
警戒すべき典型的な QR コード詐欺
クイッシング攻撃は多様ですが、大部分はいくつか予測しやすいパターンに分類できます。
1. 駐車料金支払いの偽 QR コード
パーキング メーターの正規の QR コードに重ねてシールを貼る手口です。スキャンすると偽の支払いページに誘導され、そこでカード情報を盗み取られます。
危険信号:駐車場や市町村の既知のサイトにリダイレクトすることなく、詳細な支払い情報を QR コードが要求してきます。
2. レストランのメニューのすり替え
本物のメニューの QR コードを偽の QR コードにすり替え、フィッシング ページや悪意のあるダウンロード サイトに誘導する手口です。
危険信号:メニュー ページで、「サインイン」、アプリのダウンロード、個人情報の確認を要求されます。
3. 荷物配送の不在通知
玄関先に不在通知書を残し、不在で荷物を配送できなかったとして QR コードから再配達を依頼するよう求める手口です。
危険信号:配送の情報が不明瞭で、対応を急がせます。
4. 偽のアカウント認証通知
QR コードを通じて、オンライン バンク、配信サービス、メールなどのアカウント認証が必要だと通知する手口です。
危険信号:「セキュリティ上の理由」と称して QR コードが至急の対応を求めてきます。
5. サブスクリプション トラップや偽の特典
割引、払い戻し、賞金などの資格を得たと称し、QR コードを通じて密かに定額料金を請求してくる手口です。
危険信号:読みにくい、または完全に見逃すような小さい字で書かれています。
クイッシングが特に危険な理由
QR コード詐欺が成功するのは、ユーザーが不注意だからではありません。信用と、日常化した操作を悪用されるからです。
従来のフィッシングとクイッシングの違いは、次のような点にあります。
- オフラインとオンラインにまたがって発生する
- 信頼されているリアルな場でしかけられることが多い
- 何よりも手軽で「本物」っぽく感じられる
- リンクを目で見て検証できない
万一にも偽サイトにアクセスしてしまうと、クレデンシャルを盗まれたり、アカウントを侵害してなりすましに悪用されたりと、危険性は跳ね上がります。
スキャンする前に偽の QR コードを見抜く方法
QR コードを全面的に避ける必要はありませんが、用心は必要です。
物理的な状況を確かめる
QR コードがテープで貼ってある、傷がついている、別のコードの上に貼ってある……。どれも、よくある手口です。
ブランディングの不備を探す
スペルミス、それっぽいだけのロゴ、色違いなどは危険信号です。
リンクをプレビューする
たいていのスマートフォン カメラでは、アクセスする前に URL が表示されます。その URL を確認しましょう。
緊急性をあおる文言は疑ってかかる
対応を急がせる QR コードは、特に念入りに確かめる必要があります。
QR コード詐欺から身を守るには
ステップ 1:QR コードはリンクと同じように扱う
QR コードはウェブサイトへのショートカットです。リンクの場合と同じレベルで注意を払いましょう。
ステップ 2:機密性の高い情報は入力しない
本物のサービスが、パスワードや支払い情報、まして個人情報を QR コード経由で訊いていることは、まずありません。
ステップ 3:モバイル版のセキュリティ ツールを使う
セキュリティ ソフトウェアがあれば、被害を受ける前に悪意のあるサイトを検知し、危険なダウンロードをブロックできます。
ステップ 4:疑わしいときは直接アクセスする
QR をスキャンするかわりに、公式サイトに直接アクセスするか、信頼できるアプリを開きましょう。
疑わしい QR コードをスキャンしてしまった場合の対処法
悪意のある QR コードを操作してしまったと思ったら、次のように対処してください。
- ただちにサイトの操作をやめる
- 情報はいっさい入力しない
- 銀行口座に不審な処理がないかどうか監視する
- クレデンシャルを入力してしまった場合は、パスワードを変更する
- デバイスでセキュリティ スキャンを実行する。マカフィーの無償トライアルも検討する
- 関係のある会社や拠点にインシデントを通知する
速やかに対処すれば、長期的な被害は防ぐことができます。
よくある質問
クイッシングとは、手短に言うと何ですか?
クイッシングとは、QR コードを使って人を欺き、偽の、または悪意のあるウェブサイトにアクセスさせる手法です。
QR コードはもともと危険なものですか?
そんなことはありません。しかし、悪用はできます。危険なのはコード自体ではなく、そのリンク先です。
QR コードをスキャンするとマルウェアがインストールされるのですか?
場合によっては、インストールされます。ダウンロードを指示されたり、悪意のあるサイトにリダイレクトされたりする場合は特にそうです。
QR コード詐欺は増えているのですか?
はい。QR コードが普及しているので、詐欺師がそれを使って従来の防御をすり抜けることも増えています。
最新情報を入手する
フォローして、マカフィーに関する最新情報を取得して消費者やモバイルのセキュリティ脅威について理解しましょう
