セキュリティの
学び場

今回の解説ニュース

海外の駐車場で不正なQRコードが発見されたということです。QRコードを読み取る際の注意点や、海外のセキュリティトレンドが日本国内に及ぼす影響について説明します。

今回のインシデントは、駐車場の料金所で不正なQRコードが発見されたということです。QRコードでアクセスしたサイトでお金を払ったり、情報を入力したりすべきではないということについて、注意喚起がなされています。さらに、QRコードは、レストランのメニューのように、読むだけのサイトのナビゲーションとして扱われるべきで、アプリをダウンロードしてはならないと、海外のセキュリティベンダーが注意を促しています。

まとめると、QRコードがフィッシングサイトやマルウェアの感染に悪用されていることが考えられます。日本国内でも同様のインシデントが発生する可能性がありますので、スマートフォンの利用などにおいて注意が必要です。

QRコード読取の便利さが招く意外な攻撃手法

QRコードを読み取る際は、屋外など誰が作成したかわからないQRコードを読み込まないように注意することが必要です。記事の中で書かれている対策も交えて説明します。

改めて、QRコードとは、Quick Responseの頭文字を取ったコードで、日本企業が開発したオープンソースの技術です。誰でも利用できることから、URLなど簡単な情報の取り込みから、スマホなどで読み取って行う決済まで、様々な用途で利用されています。皆さんも何らかの形で触れた機会があるのではないでしょうか。生活の一部として浸透しているということは、裏を返せばQRコードをスキャンすることはすべての人にとって自然な習慣になっています。そして、この点が攻撃者に狙われていることになります。

どういうことかというと、例えば、Aさんが飲み物を買おうとした際に自動販売機の横に「今なら10%OFF」と説明付きのQRコードが貼られていたら、なんか、スキャンしたくなりませんか？つまり、攻撃者の狙いはそこにあります。具体的には、10%OFFのクーポンをゲットするためにはアンケートにお答えくださいという流れで、個人情報や場合によってはクレジットカード番号などの入力を求めてくるかもしれません。うっかり入力してしまえば、攻撃者に悪用されてしまう可能性があります。

対策として、今回の記事には「携帯電話が最新の状態であることを確認する」「QRコードで支払いをしない」「QRコードからアプリをダウンロードしない」「QRコードからアクセスしたサイトに情報を入力しない」が挙げられていますが、最も有効な対策の一つは、誰が作成したかわからないQRコードをスキャンしないことも考えられます。

なぜ「日本はアメリカから10年遅れている」と言われるのか

海外のセキュリティトレンドが遅れて日本にやってくることは考えられます。それには、ITが普及するスピードと使われる言語が関連しています。

日本のITは時間をかけて品質を担保する傾向

時に「日本はアメリカから10年遅れている」などと揶揄されることがあります。これについては諸説あると考えますが、GAFAなど世界的なイノベーションが海外で発生していることは事実です。一方、日本のITは時間をかけて品質を担保するという傾向もあり、先進的とは言えない一方で、安定性を実現できている場合があります。例えば、日本の電力会社で欧米と比較して重大なインシデントが多く発生していないことは、従来の安定したシステムをベースに運用を続けていることの裏返しとも言えるのではないでしょうか。

攻撃者が狙う人口の数からの影響も

また、英語人口は15億人以上いると言われているのに対し、日本人口は1億人強です。このような状況から、必然的に海外がサイバー攻撃の標的とされて、遅れて日本にそのセキュリティトレンドが訪れるといった状況が発生していると考えられます。具体的には、昨年末に復活が確認されたEmotetが他のマルウェアと同様に、当初は英語のメールで感染を広げていたのに対して、日本語のメールが遅れて発生している状況が、あらかじめ想定されるということです。

今回は、QRコードを利用する際のセキュリティ対策と、海外と日本におけるセキュリティトレンドの違いについてお届けしました。ITで豊かになる生活にセキュリティが寄り添っていく世界を実現していきましょう。