QRコードを悪用したサイバー犯罪

QRコードは、日常生活のあちこちにあります。ドリンクのラベルに付いていたり、美術館の展示に添えられていたり。用途もさまざまで、Webサイトを開くためのもの、アプリのダウンロード用、ポイント登録用、料金の支払いや送金、募金にも使われます。使いやすくて実用的なQRコードは、サイバー犯罪にも便利に使われています。今回は、QRコードを悪用した詐欺行為について、そしてQRコードを安心して使うための方法について取り上げます。

QRコードとは何か、どう使われるのか

最近は、ほぼ誰でもスマートフォンを持っています（英語記事）。最新機種の多くはQRコード読み取りアプリが初めから入っていますが、そうではない機種の場合でも、カメラ機能を使用するか、QRコードを読み取るアプリをインストールして使えば問題ありません。QRコードなら何でも読み取れるアプリと、特定の用途に限定されたQR読み取りアプリ（例えば、美術館の説明用アプリなど）があります。

QRコード読み取りアプリを開いてスマートフォンのカメラをQRコードにかざすと（または、カメラ機能を開いてかざすと）QRコードが読み込まれ、特定のWebサイトへの移動やアプリのダウンロードを促すメッセージが表示されます。しかし、こうしたメッセージを表示する以外の動作をするQRコードもあります。

専用のQRコード読み取りアプリは、特定のQRコードだけを読み取るタイプです。例えば、公園に生えている歴史的に重要な樹木の説明板に付いているQRコードがそのタイプです。その公園の公式アプリでQRコードを読み取るとガイドツアーがスタートしますが、通常のスキャナーで読み取った場合は、公園のWebサイトに掲載されている説明が表示されるだけです。

特定の情報を取得するための特別なQRコードを作成できるアプリもあります。例えば、ゲスト用Wi-Fiネットワークの名前とパスワードを読み込めるようなQRコード、お金をやり取りするためのQRコードなどを作成できます。

QRコードを使ったサイバー犯罪の手口

QRコードは、単なるバーコードの進化版です。何が問題なのかイメージしにくいかもしれませんが、実はさまざまな問題が潜在しています。

人間はQRコードを読めませんし、スキャンするとどうなるかをスキャン前に確認することもできないので、問題なく使えるというのはコードを作成した人に悪意がないことが前提となります。また、QRコードの中にどういった要素が含まれるのか、自作したコードであっても逐一把握はできません。こうしたところが、悪用の余地を生んでいます。具体的に、どう悪用される可能性があるか見ていきましょう。

偽のリンク

QRコードを読み込むことで、SNSやオンラインバンキングサイトのログインページに見せかけたフィッシングサイトが表示されるかもしれません。フィッシングサイトに人を誘導してログイン情報を入力させるのはサイバー犯罪の常套手段なので、私たちは日ごろから「リンクをタップまたはクリックしようとするときは、必ずリンクを確認してからにする」ことを推奨しています。ただ、メールの場合はその確認方法が使えますが、QRコードの場合、そうはいきません。短縮URLをQRコードにしてある場合もあり、そうなると、QRコードを読み取った後に表示されるWebサイトへのアクセスを促すメッセージ上では、アクセスしようとしているWebサイトが本物か偽物かを判別できません。

似たようなものに、何かのアプリではなくマルウェアをダウンロードし、ダウンロードエラーが起きたように見せかける手口もあります。QRコードを読み込んだけれどもダウンロードされるはずだったアプリがエラーでダウンロードできなかった、と思わせるためです。マルウェアがスマートフォンに入り込んでしまえば、攻撃者としては、パスワードを盗んだり、スマートフォンに登録されている連絡先へ悪意あるメッセージを送ったり、何でもできる状態となります。

QRコードにエンコードされたコマンド

Webサイトへ誘導するQRコードばかりではありません。読み込むと特定の操作を実行するQRコードもあります。例えば、以下のような操作です。

• 連絡先を追加する
• 通話を開始する
• メールの下書きを作成して、受信者と件名を入力する
• テキストメッセージを送信する
• ユーザーの居場所をアプリと共有する
• SNSのアカウントを作成する
• カレンダーでイベントを作成する
• 優先的に使用するWi-Fiネットワークを、自動接続用の認証情報と一緒に追加する

共通しているのは、一般的な操作を自動化している点です。例えば、QRコードをスキャンすることで、名刺から連絡先情報を追加したり、駐車料金を支払ったり、ゲストWi-Fiネットワークにアクセスできるようになったりします。

幅広い用途に使えるということは、相手をコントロールしやすいということでもあります。例えば、QRコードを読み取って追加した連絡先が「銀行」という名前で連絡帳に追加されたけれども、これが実は詐欺師の連絡先だったとしましょう。その詐欺師から電話がかかってきたとき、どこかの銀行から電話が来たと思って信用してしまうかもしれません。また、長距離電話をかけられてしまって料金を支払うことになったり、自分の居場所が知られたりする可能性もあります。

QRコードの偽装方法

QRコードを使用した攻撃を成功させるには、攻撃者としては相手にQRコードをスキャンさせなければなりません。そのために使われる方法としては、以下があります。

偽のアプリダウンロード用Webサイト：悪意あるアプリをダウンロードさせるため、自分たちのWebサイトへ誘導するQRコードを広告バナーやメールに配置する方法で、紙の広告に印刷されているパターンもあります。信頼性を高めるため、Google PlayやApp StoreのロゴがQRコードの横に添えられていることがよくあります。

すり替え：ポスターや展示の説明に掲載されている本物のQRコードの上に、偽のQRコードを貼る方法です。

ちなみに、QRコードを悪用するのは、サイバー犯罪者ばかりではありません。悪質な社会活動家たちが、自分たちの考えを広めようとQRコードのすり替えを行うようになりました。例を挙げると、新型コロナウイルス感染症（COVID-19）関連のチェックイン用案内にあったQRコードを改竄し、ワクチン接種反対のWebサイトに飛ぶようにしたとして、オーストラリアで男が逮捕されています（英語記事）。

繰り返しになりますが、QRコードでできることはいくらでもあります。そしてQRコードは、何かのパンフレットや看板など、詳しい情報や説明が得られそうだと思うような場所にあります。

QRコードによるトラブルを避けるには

QRコードを使用する場合は、以下の点に注意することをお勧めします。

• 明らかに出所の怪しいQRコードは読み取らない。
• コードをスキャンしたときに表示されるリンクを、注意して確認する。URLが短縮されている場合は特に用心してください。QRコードの場合、リンクを短縮する必要はありません。QRコードを読み取るのではなく、検索エンジンや公式ストアから探しものを見つけるようにしてください。
• ポスターや展示案内などに付いているQRコードをスキャンする場合は、元の画像の上に貼られたコードではないかどうか、ざっと確認してからスキャンする。

QRコードには、電子チケット番号など、価値ある情報が含まれている場合もあります。したがって、QRコードが付いた文書はSNSに投稿しないでください。