QRコードを悪用したフィッシング攻撃について
色々な場面で見かけるようになったQRコード。使われ方も様々で、WebサイトやSNSなどへの誘導や、QR決済、スマホとのアプリ連携、各種チケットや会員カードはもちろん、業務上でも多要素認証アプリの登録コードなどの利用にも使われています。そうしたQRコードでフィッシングなどのインターネット犯罪に巻き込まれるケースがあるということはご存じでしょうか。今回は、QRコードに潜む危険性についてご紹介します。
1.QRコードでフィッシング?
QRコードを用いて不正サイトへ誘導する手口をQRコードフィッシング、またはクイッシングと呼びます。代表的な手口はURLを用いたフィッシングと同様に、正規サービスを装ったメールを利用者に送付し、QRコードを使って不正サイトに誘導して個人情報などの詐取を行うというものです。
通常のフィッシングと大きく異なる点は、メール本文にはURLが記載されておらず、本文中のQRコードをスマートフォンなどで読み取らせて不正サイトに誘導するという点です。このため、URLの場合はドメイン名などで「いつもと違う」ことに気づく可能性がありますが、QRコードの場合はメール等にURLそのものが文字列として表示されないため、より気が付きにくいという点があげられます。
また、スマホなどでQRコードを読み込んだ際に表示されるURLも短縮URLサービスを利用する、正規サービスを彷彿させるようなURLを用いるなど気づきにくくするための工夫をしている場合があります。スマートフォンの場合は、画面が小さくURLをすべてチェックしにくいことや、QRコード読み込み後の画面をよく確認せず流れで操作してしまうことなどがあり、気づきにくさを助長しています。さらに、URLが本文に記載されていないため迷惑メールフィルタを回避する効果を攻撃者が狙っているとも考えられます。
既に、多くの事例が発生しており、Microsoftなどのビジネスに利用するツール(サービス)の多要素認証などの手続きを騙った迷惑メールが確認されています。これらのメールに表示されるQRコードを読み込むと認証情報を詐取するためのフィッシングサイトに誘導されます。
また、メール以外の事例では、大手スーパーのポスターやチラシにあるQRコードを読み取ると不正サイトへ誘導されるという事件もありました。この場合QRコード自体は正しいものでしたが、QR作成に利用したURL短縮サービスが表示する広告に不正なサイトへ誘導するものが存在しており、悪性サイトへ誘導される場合があるというものでした。
この他にも、早急に支払いを迫るような内容とともに、攻撃者の用意した正規のQR決裁サービスのQRコードを貼付して送りつけるという攻撃も確認されています。このQRコードを読み込むと、正規のQR決裁サービスに接続するため、不正な請求とは気づかないまま支払いをしてしまうという事例が確認されています。
QRコードフィッシングだけでなく、不正サイトに誘導され。マルウェアに感染してしまう事例も確認されており、より注意が必要となっています。
2.QRコードフィッシングに合わないために
便利なQRコードですが、上述のような被害にあわないためにも以下のような注意が必要です。
(1) QRコードの信頼性を確認する
メールやサイトにURLが記載されておらず、QRコードのみが貼付されていてサイトに誘導しようとするケースは、QRコードの読み込みを避けることが望ましいです。サイトへの誘導を目的とする場合、メール内にURLを記載して誘導することに加えて、QRコードを表示してスマートフォンなどの利用者の利便性を上げるということが一般的ですのでリンクが一切なく、QRコードのみでサイト誘導される場合は、注意が必要です。
URLが記載されている場合も、QRコードを読み込んだ後のURLがメールやサイトに記載されているものと同じかなどの確認が必要です。なお、フィッシング対策では、メールで受信したURLはクリックしないことが推奨されますので、QRコードも同様に基本的にはスキャンしないことが望ましいです。
また、ビジネスツールなどの多要素認証の確認コードとしてQRコードが利用される場合、自身の利用するツールやサービスでQRコードがどの様に利用されるのかのフローやメールの送信元に関する情報などを正しく理解しておく必要があります。なお、正規のQR決裁サービスを悪用する手口も確認されています。QRコードで決裁を促す内容のメールなどが届いた場合は、内容についてインターネットで検索してみる、正規の問い合わせ先に確認するといった行為が必要です。
(2)QRコード読み込み後に表示された情報が正しいかを確認する
QRコードは不正サイトへ誘導するための導線です。最終的には表示された不正サイトで、個人情報の詐取やマルウェアの配布などが行われます。 その為、例えばQRコードを読み込んだのちに表示されるサイトが、意図した内容ではない、例えば、突然クレジットカード情報などの個人情報の入力を求められるなどの場合は、不正サイトに誘導されている可能性があるため接続をやめるなどの判断が必要です。
(3) セキュリティソフトウェアを常に更新する
スマートフォンやタブレットにセキュリティソフトウェアをインストールし、定期的にアップデートを行うことで、QRコードを含む悪意のあるファイルやウェブサイトからの保護を強化しましょう。また、iOSに搭載されているSafariでは「詐欺Webサイトの警告」機能があります。全てのサイトを検知出来る訳ではないですが、こうした機能を有効にしておくことで、防ぐことも可能です。また、Androidの場合は、提供元不明のアプリをインストールしない設定とすることで、Google Playを装った不正なサイトに誘導されてアプリのインストールを促された場合もインストールされないといった対策にもなります。
QRコードは便利なツールですが、フィッシング攻撃から身を守るためには警戒が必要です。QRコードをスキャンする前に、情報の発信元や信頼性を確認し、安全なオンライン体験を実現しましょう。
