top of page

そのQR、読み込んで大丈夫?増加するクイッシングの脅威

こんにちは、サニーリスクマネジメントです。


近年、二次元コード(QR)を悪用した詐欺「クイッシング(Quishing)」が新たな脅威として注目されています。

90年代に日本で発明された二次元コード(QR)は東アジアを中心に普及し、現在では北米や欧州でも盛んに利用されています。Webサイトへのアクセスのために使用したり、決済ができたりしたりと私たちの生活を豊かにしているQRですが、その利便性の一方で、様々なリスクも存在しているという現状があります。

今回は、QRのリスクとクイッシングについてみてみましょう。

 

QRに潜む2種類のリスク

 

QRには、情報セキュリティ上、①ハードリスクと②ソフトリスクの2つのリスクが存在します。①ハードリスクには、本来のQRの上に偽のQRが貼られているというもの(ステッカー詐欺)が挙げられます。偽のQRには、次で述べるような悪意あるWebページやファイルがリンクされている可能性があります。また、QRは複製が容易で大量頒布や不正な複製が可能である点にも注意が必要です。②ソフトリスクとしては、QRにリンクされているWebページやファイルが悪意あるものであるということが挙げられます。例えばフィッシングサイトやマルウェアを含むファイルなどがその一例です。

 

実際に、QRの不正なリンク先としては、フィッシングを目的としたなりすましサイトや不正なWebサイトへの誘導(クイッシング)や、コンピュータウイルスを含むファイル、本来リンクされているWebサイトとは異なるリンク(故意・過失ともに)などが挙げられます。

 

クイッシングのリスクが増加するシーン

 

フィッシング対策協議会による2023年1月の報告書では、当時フィッシングの報告件数は減少していたものの、フィッシングサイトをリンク付けしたQRをメールで送信する形のクイッシングの報告が増加し当月で1,000件以上の報告があったことが明らかになっています。

 

2023年は日本だけでなく世界的にクイッシングの発生件数が増加した年であったと考えられます。冒頭で述べたように、今やQRは日本含む東アジアだけでなく、欧米などにも広く普及するようになり、ペーパーレス化や電子決済の推進の中で活用されるようになってきました。米国の連邦取引委員会(FTC)は2023年12月、クイッシングに関する警告を発し、国民へQRを読み込む際の注意喚起を行っています。

 

クイッシングのリスクが増加するシーンとしては、次のようなものが考えられます:

 

・不正なサイト等をリンクしたQRをメールで受信する

・店舗提示型QRの読み込み

・自動販売機など公共の場所でのQR決済

・イベントなど不特定多数の人が集まる場所での読み込み

 

例えばQRをメールで送信する場合、そのQRが正当なものであっても不正なものであっても、OS側でQRのデータは画像データとして認識されるため、セキュリティをすり抜けて受信者の手元に届いてしまうという、セキュリティソフトの脆弱性を突いた仕組みになっています。

また、QR決済や電子メニューの表示、SNSアカウントの紹介などを目的として店内や店先に掲示する店舗提示型QRについても、前述のステッカー詐欺のような貼り替えや、意図しないWebサイトへの誘導などに注意が必要です。

さらに、自動販売機など多くの人の目に触れる場所に、寄付等を求めるWebサイトをリンクしたQRを貼り付けたや、QR決済時に自身のQRを提示した際、背後からそれを読み込まれて不正利用が行われた例などもありました。

 

クイッシングの被害を受けないために、設置側と読み取り側ができること

 

クイッシングは、QRを設置する側と読み取る側、双方の注意やリテラシー強化によって被害を少なくできる可能性があります。

 

設置する側としては、①QR作成後に読み取り作業を行う、②QRにリンク付けしたWebサイト等の適切な保守を行う、③店頭等での貼り替えに注意するといった注意点があります。①に関しては、そのQRの可用性を高めるためにもQR自体の読み取りが可能か、リンク付けされているWebサイト等が適切かどうかの確認は必須といえます。また、②で挙げたように、QRに含まれているWebサイト等の乗っ取りなどを防ぎ正常なQRからのアクセスを維持するために保守も重要となります。その上で、③のようにステッカー詐欺等への対策も必要です。

 

また、読み取る側もQR読み込み時の細かな注意で被害を防ぐことができます。例えばステッカー詐欺に対しては、本来のQRの上から新たにQRが貼付されていた場合に、店員等に尋ねてみることで適正なQRであるかどうかを判断することができます。自動販売機など人通りの多いところに貼られたQRは安易に読み込まないなど、QRにリンク付けされているWebサイトやファイルの内容が分かる場合のみ読み込むつもりで使用することが被害防止に繋がります。メールでQRが送付された際も、送信元が信頼できない場合は読み取らない方が無難でしょう。

 

また、スマートフォンのOSによってはQRを読み取る際に画面上にURLを表示する機能を持つものもあります。QRにリンク付けされているWebサイトにアクセスする前に、URLやドメイン名を確かめるといったワンクッションを置くだけでも不正なWebサイトへのアクセスを防止できます。

 

QR決済を行うときの背後からの読み取りには、QR画面を開いたままにしないことや他者から画面が見えないように伏せておくこと、覗き見防止機能付きの画面フィルムを使用することで対応することができます。

 

利便性とセキュリティの両立を

 

ペーパーレス化やキャッシュレス化に伴い再び急拡大しているQR。利便性や業務効率が向上した一方で、QRを悪用し新たな犯罪を行おうとする人や組織も存在しています。

 

利便性とセキュリティを両立するためには法整備なども有用ではありますが、日常生活と密接に関わり合うシーンでは、利用者をはじめとしたひとりひとりが意識的に防犯に取り組んだり、リテラシーを向上したりする必要があります。


オレンジのロゴ

閲覧数:11回0件のコメント
ロゴ
bottom of page