「QRコードフィッシング」から派生した用語である「クイッシング」は、サイバー犯罪者が悪意のあるQRコードを使い、人々をだまして偽のWebサイトにアクセスさせたり、デバイスにマルウェアをダウンロードさせたりするサイバー攻撃です。
目次
クイッシングの意味
悪意のあるQRコードは、メールや広告、チラシに埋め込まれたり、既存のQRコードの上に重ねて表示される場合もあります。攻撃の目的は、パスワードや金融データなどの機密情報を盗み出したり、将来のさらなる悪用につながるマルウェアにユーザの端末を感染させたりすることです。
QRコードは人々の生活を便利にするために設計されていますが、その手軽さがサイバー犯罪者の格好の標的となっています。QRコードは、読み取るまでURLが確認できないため、クイッシングは手遅れになるまで気付かない場合があるのです。
QRコードとは?
QRコード(クイックレスポンスコード)は、スマートフォンなどのデジタル端末で手軽にスキャンできる2次元バーコードです。大量のデータを保存でき、ユーザはスキャンするだけで情報を共有できます。QRコードをスキャンすると、通常は情報が掲載されたウェブページが表示されますが、電話の発信やテキストメッセージの送信、デジタル決済にも利用できます。例えば、レストランでは、デジタルメニューを提供するためにQRコードが広く使われています。
なぜクイッシング詐欺は効果的なのか
クイッシング詐欺が成功する背景には、被害者の心理的な傾向や行動習慣があります。QRコードは便利で信頼できると広く認識されているため、ユーザがQRコードに疑いを持ちにくいのです。
慣れ親しんだ環境と信頼
レストランのメニュー、非接触型決済、ホテルのイベントチェックインなど、日常生活にQRコードが浸透するにつれて、人々はQRコードを何の疑問もなくスキャンするようになりました。
隠されたリンク先URL
従来のフィッシングリンクと異なり、QRコードはリンク先のURLが隠されているため、その正当性をひと目で確認することが困難です。
緊急性と説得戦術
サイバー犯罪者は、アカウントのセキュリティに関する警告や限定セールのオファーなど、緊急性を煽るメッセージでユーザに衝動的な行動を促します。
これらの要素に加えて、QRコードが持つ視覚的かつインタラクティブな性質により、クイッシングは特に効果的な攻撃手段となります。
クイッシング攻撃の仕組み
クイッシング攻撃では、正規のQRコードを悪意のあるQRコードに置き換えるのが一般的です。偽造されたコードは、ポスターや決済端末、レストラン、さらにはメールやテキストメッセージなど、さまざまな場所に表示されます。標的のユーザがQRコードをスキャンすると、個人情報を盗んだり、有害なソフトウェアをダウンロードさせたりする悪意のあるウェブサイトへ誘導されます。
マルウェアとフィッシング
悪意のあるQRコードをスキャンすると、偽のウェブサイトに誘導されるだけでなく、端末にマルウェアがダウンロードされる場合もあります。これにより、サイバー犯罪者はデータの窃取や行動の監視(スパイウェア)、身代金を支払うまでシステムへのアクセスを制限する(ランサムウェア)といった被害を与える可能性があります。フィッシング詐欺に利用されるQRコードは特に危険で、ユーザが端末の侵害に気付いた時には手遅れになっている場合があります。
誰が危険にさらされるのか?
QRコードによる攻撃は誰でも被害に遭う可能性がありますが、特に危険にさらされているのは特定のグループです。以下はその例です。
- 旅行者:観光客は、ナビゲーションや支払い、見慣れない場所での情報アクセスにQRコードを利用することが多いためです。
- 高齢者:高齢者は、こうしたフィッシング手法への注意喚起が届きにくいため、サイバー攻撃の標的となる傾向があります。
- モバイルユーザ:モバイル決済やオンライン取引の手軽さから、QRコードは迅速な支払いを可能にする一方で、詐欺の被害に遭いやすくなっています。
- 企業と従業員:非接触型サービスにQRコードを利用している企業は、知らないうちに自社や顧客をこれらの攻撃の危険にさらしている可能性があります。
クイッシング攻撃の兆候
クイッシング攻撃を回避するために注意すべき兆候をいくつかご紹介します。
改ざんされたQRコード
QRコードが破損していたり、不適切な場所に貼られていたりする場合は、スキャンを避けるのが最善です。サイバー犯罪者は、正規のQRコードの上に独自のQRステッカーを重ねて貼ることがよくあります。
予期しないプロンプト
QRコードをスキャンした後、突然個人情報や金融情報の入力、またはソフトウェアのダウンロードを求められた場合は注意が必要です。
話がうますぎる
特典や割引、賞品などを約束するQRコードは、罠である可能性があります。詐欺師は、被害者を誘い込むために魅力的なオファーをよく利用します。
疑わしいWebリンク/Webページ
QRコードに埋め込まれたURLを確認しましょう。URLが長すぎたり、複雑すぎたり、ランダムな文字列が含まれていたりする場合は、フィッシングサイトにつながる可能性があります。また、QRコードからアクセスして支払いを要求するサイトは避け、取引の際は既知の信頼できるURLからアクセスするようにしてください。
情報過多
必要以上に過剰な権限(例:カメラ、連絡先、位置情報へのアクセス)を求めるQRコードには警戒が必要です。
クイッシング攻撃の実例
一般的なクイッシング攻撃として、ベタービジネスビューロー(Better Business Bureau:BBB)が注意喚起している「パーキングメーター詐欺」があります。サイバー犯罪者はパーキングメーターや決済端末に偽のQRコードを貼り付けます。現金を所持していないドライバーが駐車料金を支払うためにコードをスキャンすると、クレジットカード情報の入力を求める不正サイトに誘導されます。被害者は、数日あるいは数週間後に請求書に身に覚えのない請求が表示されるまで、詐欺に遭ったことに気付かない場合があります。
もう一つの脅威として、偽のQRコードを使用して正規の公共事業会社や政府機関になりすます詐欺師がいます。被害者は、正式な連絡に見せかけたメッセージを受け取り、料金を支払うためにコードをスキャンするように促されますが、実際には支払いは行われず、金融情報を盗むための偽サイトに誘導されます。
クイッシング攻撃を防ぐには
スキャンする前に、立ち止まって考えましょう。あなた自身と組織をクイッシング攻撃から守るための実践的なヒントをいくつかご紹介します。
発信元を確認する
企業やレストランなどの公共の場所でQRコードを見かけた場合は、スキャンする前に従業員に確認することをお勧めします。BBB(Better Business Bureau)が推奨しているように、QRコードが改ざんされている兆候には特に注意しましょう。
未承諾の通信ではQRコードを避ける
詐欺師は、フィッシングメールやテキストメッセージで偽のQRコードを使用するケースを増やしています。知らない送信者から送られてきたコードをスキャンしたり、リンクをクリックしたりしないようにしましょう。
URLプレビュー機能付きのQRスキャナを使用する
一部のQRコードリーダーアプリは、ウェブサイトにリダイレクトする前にURLのプレビューを表示します。この機能によって、リンクが信頼できるかどうかを判断してから操作を進めることができます。
セキュリティソフトウェアを更新する
端末のセキュリティソフトウェアを常に最新の状態に保つことで、有害なQRコードをスキャンして発生する可能性のある悪意あるダウンロードを検出し、ブロックすることができます。
QRコード決済には注意する
QRコード決済を利用する際、特に慣れない場所では、金融情報を入力する前に、決済端末やウェブサイトが正規のものかどうかを確認してください。
クイッシング対策のサポートはどこで受けられますか?
QRコードは情報を手軽に取得できる便利な手段である一方、私たちはより注意深く、セキュリティ意識を高める必要があります。セキュリティ意識の向上とトレーニングは保護の維持に不可欠ですが、組織には、IT管理者やセキュリティチームが常に最新の情報を把握し、統合された機能を提供できるメールセキュリティソリューションが求められます。Trend Vision OneTM Email and Collaboration Securityは、Trend Vision OneTM Cyber Risk Exposure Management (CREM) ソリューションを通じてTrend Vision One™ Security Awareness機能を提供し、従業員が情報に基づいた意思決定を行い、高度なフィッシング攻撃から効果的に保護できるようにします。