QRコード:便利だが危険な存在

QRコードを使ったフィッシング、「QRishing」という手法が現れました。自分を守るための方法とは。

qrcode-feat

広告、雑誌、ポスターでたびたび見かけるようになった四角い画像のQRコードは、現実の世界とバーチャルな世界を結ぶ、最も簡単かつ安価な方法であることが実証されてきました。スマートフォンのカメラでQRコードを読み取れば、リンクをたどって Web サイトの情報を入手したり、連絡先の電話番号を保存したり、アプリをダウンロードしたりできます。マーケティングの専門家らは、その優れた簡便さゆえにQRコードのテクノロジーを気に入っているようですが、同じことがサイバー犯罪者にも当てはまるのです。したがって、あなたのデバイスのカメラをQRコードに向けるときには十分な注意が必要です。

QRコード(QRは「Quick Response」の略)はあらゆる種類のテキスト情報やオンラインリソースへのリンク情報を保持できます。QRコードもう長いことアジアで使用されていますが、今ではヨーロッパやアメリカでも人気となっています。看板、店舗に並んでいる商品、Webサイト、さまざまなチケットやクーポンなど、あらゆるところでQRコードを目にします。用途は他にもたくさんあります。同時に、QRコードを利用した不正行為も増えています。正規のコードの上にぴったりと合わせて悪意のあるQRコードが貼られているという事例はますます増えています。これはフィッシング(Phishing)に似ていることから、「QRishing」と呼ばれるようになっています。

qrcode

地下鉄、空港、駅、銀行(ATMなど)のような公共の場所に掲載されているQRコードがどれほど危険かを考えるのに、それほど多くの想像力を働かせる必要はないでしょう。多くの人々は、どういうわけか広告は危険ではないと信じており、大手銀行のビルに危険が潜んでいるなどとは考えることもしません。

ユーザーがQRコードを読み取る場合、QRコードに登録されているリンクは最初にデバイスの画面に表示されます。ただし、サイバー犯罪者はURL短縮サービス(「bit.ly」など)を使って、QRコードに保存されているアドレスの最終の到達先を隠そうとします。たどり着いた先は、ユーザーの認証情報を盗み取るマルウェアが潜んでいるページであったり、フィッシングサイトであったりします。モバイルブラウザーでは、開くページの完全なURLを表示できないこともあり、この事実が状況をいっそう複雑にしています。URL全体が表示されないと、不正行為を見つけ出すのに大きなハンディキャップとなります。また、さらに事態を悪化させているのは、マルウェアから十分に保護されていないモバイルデバイスが珍しくないということです。

この種の脅威を減らすために、以下の3つの簡単な推奨事項に従ってください。

  1. 慎重であってください。QRコードをスキャンする前に、そのコードの下に別のコードが隠れていないことを確認してください。疑わしい場合は、スキャンしない方がいいでしょう。
  2. QRコードを使用してブラウザーでアプリストアやWebサイトを開いたら、そのアクセス先があなたの意図したものと同じであることを確認してください。アプリケーションをインストールしようとしている場合は、あなたが見た広告や情報に載っていたのと同じ企業が開発したものであることを確認します。アプリケーションの評価や顧客のフィードバックを読んでください。ほんの少ししか掲載されていない、またはまったく見つからない場合は、インストールしない方が安全です。QRコードからWebサイトにアクセスした場合は、URL全体を確認します。そうしないと、フィッシング詐欺に引っかかる可能性があります。メールアドレスやオンラインバンキングのデータのような、個人データや認証情報を入力する場合は、さらに慎重を期してください。
  3. スマートフォンにセキュリティアプリをインストールして、悪意のあるコンテンツが含まれるWebサイトや、マルウェアをダウンロードしていないかを確認できるのであれば、ぜひそのようなセキュリティアプリをインストールしてください。このことはAndroidスマートフォンでは特に重要です。Androidは今、多数のマルウェアプログラムの標的になっているからです。
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?