こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
トレンドマイクロ株式会社は9月28日、QRコードを悪用した詐欺手口についてブログで発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】QRコードを悪用した詐欺の手口について発表されています。QRコードを使った詐欺の内容と、その対策について説明します。
今回の記事では、QRコードの普及により、攻撃者がユーザの個人情報を盗むための土壌となっていると指摘しています。現在は、FBIが警告を発したほど蔓延し、巧妙になっているということです。攻撃者は、QRコードの安全性についてあまり知識のない、無防備な一般人を狙っているため、一般的なQRコード詐欺とその手口について解説しています。
具体的な手口として、攻撃者が偽のQRコードのシールを店舗や公共スペースに掲示されているQRコード付きの看板やポスターの上に物理的に貼り付けることや、フィッシングメールに添付されたQRコード、ユーザに報酬を得られると約束し偽の暗号資産ウォレットをダウンロードさせるQRコードなどが挙げられています。
QRコードを読み取る際は、スマートフォンにデフォルトとして設定されたカメラアプリを使用することと、QRコードを読み取った後に表示されるURLが意図したドメインであるか確認することが必要です。
過去にあったQRコード詐欺の事例として、QRコードを読み取ったり作成したりするアプリをインストールさせる手口が挙げられています。具体的には、2021年半ばに、マルウェアとリンクしたQRコードを読み取るアプリが、Google Play上に公開されていました。当該アプリのインストール時にアップデートが強制され、アップデート後はユーザに提供元不明の別アプリのインストールを許可するよう促すということです。
別の事例として、QRコード作成アプリを装って、ユーザに登録を求め完了した後に、攻撃者が詳細なデバイス情報を取得すると、QRコード作成アプリはマルウェアを自らダウンロードしてインストールし、ログイン情報や銀行口座情報などの個人情報を窃取するということです。
QRコードを読み取った後の対策として、詐欺の被害にあってしまったことを前提とした多層防御の考え方が必要です。
例えば、Aさんの住んでいるマンションの入口にオートロックがあったとします。オートロックがあるので、Aさんの部屋まで泥棒が侵入することはありませんが、万が一、オートロックが突破されることも考えて、部屋の鍵もかけてから外出されると思います。先ほど挙げた、QRコード詐欺にあわない対策が必要ですが、QRコード詐欺にあってしまっても、実際の被害が発生しないような対策も併せて必要です。
具体的には、仮にQRコードを読み取ってしまったとしても、リンク先のウェブサイトが正規のものであることを確認しましょう。QRコードに限らずリンクからアクセスしたWebサイトは常に詐欺サイトである可能性がありますので、個人情報を入力する際は、少しでも怪しいところがないか常に確認することが必要です。
また、仮にQRコード詐欺でIDとパスワードを入力してしまっても、多要素認証を有効にしておけばログイン情報が悪用されるのを防ぐことが可能です。ただし、多要素認証の情報も合わせて窃取しようとする攻撃も確認されていますので、その点については注意してください。
今回は、QRコードを使った詐欺の内容と、その対策についてお届けしました。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ