「QRコードフィッシング」から派生した用語である「クイッシング」は、サイバー犯罪者が悪意のあるQRコードを使い、人々をだまして偽のWebサイトにアクセスさせたり、デバイスにマルウェアをダウンロードさせたりするサイバー攻撃です。
目次
悪意のあるQRコードは、メールや広告、チラシに埋め込まれたり、既存のQRコードの上に重ねて表示される場合もあります。攻撃の目的は、パスワードや金融データなどの機密情報を盗み出したり、将来のさらなる悪用につながるマルウェアにユーザの端末を感染させたりすることです。
QRコードは人々の生活を便利にするために設計されていますが、その手軽さがサイバー犯罪者の格好の標的となっています。QRコードは、読み取るまでURLが確認できないため、クイッシングは手遅れになるまで気付かない場合があるのです。
QRコード(クイックレスポンスコード)は、スマートフォンなどのデジタル端末で手軽にスキャンできる2次元バーコードです。大量のデータを保存でき、ユーザはスキャンするだけで情報を共有できます。QRコードをスキャンすると、通常は情報が掲載されたウェブページが表示されますが、電話の発信やテキストメッセージの送信、デジタル決済にも利用できます。例えば、レストランでは、デジタルメニューを提供するためにQRコードが広く使われています。
クイッシング詐欺が成功する背景には、被害者の心理的な傾向や行動習慣があります。QRコードは便利で信頼できると広く認識されているため、ユーザがQRコードに疑いを持ちにくいのです。
レストランのメニュー、非接触型決済、ホテルのイベントチェックインなど、日常生活にQRコードが浸透するにつれて、人々はQRコードを何の疑問もなくスキャンするようになりました。
従来のフィッシングリンクと異なり、QRコードはリンク先のURLが隠されているため、その正当性をひと目で確認することが困難です。
サイバー犯罪者は、アカウントのセキュリティに関する警告や限定セールのオファーなど、緊急性を煽るメッセージでユーザに衝動的な行動を促します。
これらの要素に加えて、QRコードが持つ視覚的かつインタラクティブな性質により、クイッシングは特に効果的な攻撃手段となります。
クイッシング攻撃では、正規のQRコードを悪意のあるQRコードに置き換えるのが一般的です。偽造されたコードは、ポスターや決済端末、レストラン、さらにはメールやテキストメッセージなど、さまざまな場所に表示されます。標的のユーザがQRコードをスキャンすると、個人情報を盗んだり、有害なソフトウェアをダウンロードさせたりする悪意のあるウェブサイトへ誘導されます。
悪意のあるQRコードをスキャンすると、偽のウェブサイトに誘導されるだけでなく、端末にマルウェアがダウンロードされる場合もあります。これにより、サイバー犯罪者はデータの窃取や行動の監視(スパイウェア)、身代金を支払うまでシステムへのアクセスを制限する(ランサムウェア)といった被害を与える可能性があります。フィッシング詐欺に利用されるQRコードは特に危険で、ユーザが端末の侵害に気付いた時には手遅れになっている場合があります。
QRコードによる攻撃は誰でも被害に遭う可能性がありますが、特に危険にさらされているのは特定のグループです。以下はその例です。
クイッシング攻撃を回避するために注意すべき兆候をいくつかご紹介します。
QRコードが破損していたり、不適切な場所に貼られていたりする場合は、スキャンを避けるのが最善です。サイバー犯罪者は、正規のQRコードの上に独自のQRステッカーを重ねて貼ることがよくあります。
QRコードをスキャンした後、突然個人情報や金融情報の入力、またはソフトウェアのダウンロードを求められた場合は注意が必要です。
特典や割引、賞品などを約束するQRコードは、罠である可能性があります。詐欺師は、被害者を誘い込むために魅力的なオファーをよく利用します。
QRコードに埋め込まれたURLを確認しましょう。URLが長すぎたり、複雑すぎたり、ランダムな文字列が含まれていたりする場合は、フィッシングサイトにつながる可能性があります。また、QRコードからアクセスして支払いを要求するサイトは避け、取引の際は既知の信頼できるURLからアクセスするようにしてください。
必要以上に過剰な権限(例:カメラ、連絡先、位置情報へのアクセス)を求めるQRコードには警戒が必要です。
一般的なクイッシング攻撃として、ベタービジネスビューロー(Better Business Bureau:BBB)が注意喚起している「パーキングメーター詐欺」があります。サイバー犯罪者はパーキングメーターや決済端末に偽のQRコードを貼り付けます。現金を所持していないドライバーが駐車料金を支払うためにコードをスキャンすると、クレジットカード情報の入力を求める不正サイトに誘導されます。被害者は、数日あるいは数週間後に請求書に身に覚えのない請求が表示されるまで、詐欺に遭ったことに気付かない場合があります。
もう一つの脅威として、偽のQRコードを使用して正規の公共事業会社や政府機関になりすます詐欺師がいます。被害者は、正式な連絡に見せかけたメッセージを受け取り、料金を支払うためにコードをスキャンするように促されますが、実際には支払いは行われず、金融情報を盗むための偽サイトに誘導されます。
スキャンする前に、立ち止まって考えましょう。あなた自身と組織をクイッシング攻撃から守るための実践的なヒントをいくつかご紹介します。
企業やレストランなどの公共の場所でQRコードを見かけた場合は、スキャンする前に従業員に確認することをお勧めします。BBB(Better Business Bureau)が推奨しているように、QRコードが改ざんされている兆候には特に注意しましょう。
詐欺師は、フィッシングメールやテキストメッセージで偽のQRコードを使用するケースを増やしています。知らない送信者から送られてきたコードをスキャンしたり、リンクをクリックしたりしないようにしましょう。
一部のQRコードリーダーアプリは、ウェブサイトにリダイレクトする前にURLのプレビューを表示します。この機能によって、リンクが信頼できるかどうかを判断してから操作を進めることができます。
端末のセキュリティソフトウェアを常に最新の状態に保つことで、有害なQRコードをスキャンして発生する可能性のある悪意あるダウンロードを検出し、ブロックすることができます。
QRコード決済を利用する際、特に慣れない場所では、金融情報を入力する前に、決済端末やウェブサイトが正規のものかどうかを確認してください。
QRコードは情報を手軽に取得できる便利な手段である一方、私たちはより注意深く、セキュリティ意識を高める必要があります。セキュリティ意識の向上とトレーニングは保護の維持に不可欠ですが、組織には、IT管理者やセキュリティチームが常に最新の情報を把握し、統合された機能を提供できるメールセキュリティソリューションが求められます。Trend Vision OneTM Email and Collaboration Securityは、Trend Vision OneTM Cyber Risk Exposure Management (CREM) ソリューションを通じてTrend Vision One™ Security Awareness機能を提供し、従業員が情報に基づいた意思決定を行い、高度なフィッシング攻撃から効果的に保護できるようにします。