詐欺に注意！QRコードの危険性とは

　スマホの普及とともに生活に浸透しはじめた四角いギザパターンといえばQRコード。スマホ決裁や各種ポイントの登録など、非接触が求められるコロナ禍にあって急速に普及しました。レストランのメニュー表示など、あらゆる用途で広く使われるようになって、悪用されるケースが報告されるようになりました。

QRコードとは

　QRコードは、1994年にデンソーウェーブで開発された機械で読み取り可能なバーコードです。QRは「Quick Response」の略語で、デジタル機器ですばやく情報を読み取ることができます。

　QRコードには、最大4,296文字の英数字を格納できますが、一般的なコードはスマートフォンのカメラで簡単に読み取れるよう、使われる文字数は少ないです。なお、格納された文字列は、読み取りアプリによって、Webサイトを開く、ファイルをダウンロードする、連絡先を追加する、Wi-Fiに接続する、支払いをするなど、その後の動作が決定します。QRコード自体は危険ではないのですが、動作を決定するデータとアプリには注意が必要です。

悪用されるQRコード

・不正なサイト誘導、機密情報詐取
→不正なQRコードのステッカーを用いて、偽の決済サイトへ誘導
　偽造されたQRコードステッカー型詐欺など、正規のWebサイトのように見せかけた偽のWebサイトに誘導するQRコードを作成して配布。QRコードは人間が読み取ることは困難であり、カメラアプリで読み取ると自動的に埋め込まれたURLにアクセスするため、フィッシングキャンペーンなどに悪用されるケース。

・端末に不正ファイルをダウンロード
→悪意のあるPDFファイルや不正なモバイルアプリをダウンロード

・端末を不正に操作
→QRリーダーでも起動できる基本的な操作を悪用
　脆弱なWi-Fiへ接続、電子メールやショートメッセージの送信、連絡先の保存。

・電子決済を流用、金銭要求
→決済アプリによる、不正送金
　QRコードを改ざんし、攻撃者の用意した口座に送金。

・ログイン情報を不正入手、アプリへ不正アクセス
→攻撃者は対象のサービスになりすまし、偽のQRコードをユーザーにスキャン
　「QRLハイジャック」（QRログイン）とも呼ばれ、攻撃者は、名前とパスワードを入力する代わりにQRコードを読み取らせることでログインを行う認証方式を悪用。通常はログインする度に新しいQRコードを生成するが、攻撃者はさまざまな手法を用いてQRコードを盗み出し、認証済みセッションを奪取するケース。

QRコードを安全に利用するためのポイント

・決済アプリなどQRコードをスキャンする前に、お店などのステッカーの状態を確認（上貼りされていないかどうか）。

・街角や送信元不明のQRコードを安易にスキャンしない。

・金融取引にQRコードを使用する場合は特に注意し、別の決済手段の利用を検討。

・QRコードの読み取りから、Webサイトを開く、ファイルをダウンロードする、Wi-Fiに接続するといった操作が自動的に実行されないよう、オプションを無効化しておく。

・QRコードの読み取りから、表示されたURLが正規のものであることを確認し、不審に感じたら、ブラウザーを開いて自身でURLを入力。

・QRコードから遷移したWebサイトでは、ログイン情報や個人情報の入力は避ける。

・アプリへのアクセス、あるいは書類や健康診断書などに含まれるQRコードなど、個人の機密情報が含まれるQRコードは他人と共有しない。

・QRコードを扱うことを前提に、アプリを常に最新の状態に保ち、セキュリティソフトを利用。

　目視でQRコードの内容を判断することはできません。不審に感じたら、QRリーダーに表示された文字列やURLを確認し、そのまま遷移させたり､動作を実行させたりする前に、スマホとは別のPCでチェックしてみることをオススメします。