QRコードフィッシング(クイッシング)とは?不正サイトへ誘導する攻撃手口と対策を解説
2024/03/27さまざまなシーンで利用されるようになったQRコードですが、読み取ることが一般的になってきたことを狙い、新たな詐欺行為(QRコードフィッシング)が発生しています。
フィッシングが仕込まれたチラシに記載のQRコードからWebサイトにアクセスすると、入力した個人情報が盗まれクレジットカードが悪用される恐れがあります。
本記事ではQRコードフィッシングの手口を紹介し、事前にやっておきたい対策を解説します。
セキュリティを強化したい人はこちら
フィッシング詐欺とは
QRコードフィッシングの手口を知るためには、フィッシング詐欺について知っておきたいところです。
フィッシング詐欺は実在する企業や金融機関、行政サービスを騙り「なりすましメール」を送信して、メール内のURLから偽サイトにアクセスさせ個人情報を抜き出す方法です。
メールや偽サイトが本物さながらに作られているため、知識がないと偽物と判別できません。
Amazonを騙るフィッシング詐欺を例に挙げると、以下の手口で消費者から個人情報やクレジットカードを盗みます。
1.消費者に「あなたのアカウントは停止されました」や「あなたのアカウントは一時的にブロックされています」と不安を煽る文面のメールを送る
2.メールに「アカウントを復旧するにはWebサイトでの手続きが必要」と記載のうえ、メールに書いている偽サイトのURLに誘導
3.偽サイト上でアカウント復旧の手続きと騙り、消費者に個人情報やクレジットカード、銀行口座情報を入力させる
偽のWebサイトにアクセスしたら、デバイスがマルウェアに感染させられるというパターンもあります。
Amazonを装ったなりすまし迷惑メールに注意|詐欺手口と偽物の見分け方
QRコードフィッシングとは
QRコードフィッシングは以下の方法で不正なQRコードを配布し、不正なサイトへアクセスさせて消費者から個人情報を盗む詐欺行為です。
・チラシで配布
・Eメールで送信
メールに不正なサイトのURLを記載して誘導するフィッシング詐欺では、知識を持っていればURLを見て怪しくないか判断することができたのですが、QRコードフィッシングではURLが確認できないため、フィッシング詐欺とは違った対策が必要です。
QRコードフィッシングの手口
QRコードフィッシングの目的は以下の2点です。
1.マルウェアに感染させる
2.不正な取引をさせる
消費者を詐欺サイトへ誘導する方法は巧妙ですが、流れを知っておくだけで効果的な対策になります。
詐欺サイトへ誘導する
QRコードフィッシングの手口は、詐欺サイトへの誘導が第一段階といえます。
詐欺を行う側は不特定多数を対象に、キャンペーンやクーポンを騙るチラシやメールを配布します。
フィッシング詐欺と同様に、実在する企業や金融機関、行政サービスを騙り「なりすましメール」を送信してくる可能性もあるでしょう。
チラシやメールでは、以下のどちらかの手法で消費者の関心を引き、QRコードを読み取らせて不正なWebサイトに誘導させます。
・キャンペーンやクーポンによるお得感
・アカウントやクレジットカードが停止したなどの不安感
マルウェアに感染させる
QRコードフィッシングによって不正なWebサイトにアクセスした場合、考えられる危険性はマルウェアの感染です。
攻撃者の目的がマルウェアの感染だとすると、不正なWebサイトにアクセスした時点でデバイスにウイルスがダウンロードされます。
マルウェアに感染すると端末内の情報が盗まれるうえに、遠隔で操作される危険も伴います。
不正な取引をさせ情報を盗む
QRコードフィッシングを使う攻撃者が狙っているのは、消費者に誘導したWebサイトを本物だと思わせて不正な取引をさせることです。
オンラインで会員登録や買い物などの手続きを行う際、以下の情報を入力する場合が多いかと思います。
・氏名
・住所
・電話番号
・メールアドレス
・正規のWebサイトで利用しているIDやパスワード
・銀行口座情報
・クレジットカード情報
攻撃者は誘導した不正なWebサイトを本物だと認識させ、上記の情報を入力させようとしています。
不正なWebサイトでこれらの情報を入力して登録すると、以下の被害が発生してしまいます。
・クレジットカードが悪用され、身に覚えのない請求が発生する
・会員制サイトで利用しているアカウントが乗っ取られる
QRコードフィッシングへの対策
QRコードフィッシングを回避するためにできる対策は主に以下の3つが挙げられます。
1.QRコード記載のチラシ、Eメールが怪しいものではないか確認
2.信頼性の高いQRコードリーダーの利用
3.セキュリティソフトの導入
QRコード記載のチラシ、Eメールが怪しいものではないか確認
QRコードが記載されているチラシやメールが本物かの確認は、詐欺を避けるために意識したいポイントです。
チラシやメールの文面に怪しいところ、特に誤字や脱字があるかは本物かを見極める重要な要素です。
メールでQRコードが送られてきた場合、差出人のメールアドレスを確認してみましょう。
どこかのWebサイトやサービスを騙っている場合、アドレスに不自然な箇所がある可能性が高いです。
QRコードが記載されているチラシの場合、QRコードがシールで貼り付けられていないかチェックしてください。
本物のチラシに何者かが不正なQRコードのシールを貼り付けている恐れがあるからです。
信頼性の高いQRコードリーダーの利用
QRコードリーダーの種類も、詐欺被害を避けるために重要なポイントの1つといえます。
2021年にAndroid用QRコードスキャンアプリにハッカーがマルウェアを仕込んだ事件が発生し、Google Play Storeから削除された一件がありました。
どのQRコードリーダーを使うかで、不正なサイトにアクセスする可能性が変わるため、QRコードリーダーはなるべく信頼性が高いものを使いましょう。
インターネット通信のセキュリティ対策をしておけば、スマホの標準カメラアプリはハッキングを受けづらく安全に利用できます。
セキュリティソフトの導入
公式なチラシやメールに記載されているQRコードを利用しても不正なサイトに転送される可能性が考えられます。
2023年11月に会員向けに送信したメールで、QRコードから転送されたサイトが不正なものだったという事例がありました。
この事例ではメールの作成者が不正なQRコードを組み込んだのではなく、QRコードに使う短縮URLを発行したサイト側が不正なWebサイトにアクセスするように変更したと考えられています。
海外では店頭のQRコード付きポスターに何者かが偽物のQRコードを貼り付け、不正なWebサイトへ誘導するパターンも発生しています。
チラシやメールが公式のものだと判別できても、QRコードフィッシングに遭う恐れが残るため、デバイスに「常時安全セキュリティ24」のようなセキュリティソフトを導入しておくことをおすすめします。
常時安全セキュリティ24は、AV-TEST の「Best Protection Award」を10年で7度受賞したF-Secure社のソフトを採用しており、本物そっくりに作られた偽サイトをブロックします。
万が一不正なWebサイトにアクセスしても検知して接続を遮断してくれるため、QRコードフィッシング詐欺の被害に遭う可能性を低くすることができます。
被害が増加しているQRコードフィッシングの対策に、利用の検討をおすすめします。
※2024年3月時点の情報です
偽サイトの見分け方|詐欺被害を防ぐためのセキュリティ対策