QRコードを使ったことがある人は、ほぼ間違いなくいるでしょう。スマートフォンのカメラを四角いバーコードにかざしてメニューやフォーム、あるいはアプリにアクセスし、表示されるリンクをタップするのです。しかし、QRコードの多くは(特に初期の流行り廃りと比べると)無害なものが多いものの、そのローテクさと地味な雰囲気が、悪意のある人物にとって格好のツールとなっています。
先週、MalwarebytesがWhatsAppアカウントを標的としたQRコード攻撃に関するブログ記事を公開し、最近の事例がニュースで報じられました。破損したQRコードが被害者を誘い込み、リンクをクリックさせ、新しいデバイスへのアクセスを許可する指示に従わせるというものです。ハッカー所有のデバイスは、メッセージ履歴の読み取り、場合によってはダウンロードする権限を獲得しました。
このキャンペーンは巧妙ではあるものの、QRコードが悪意のあるウェブサイトへの入り口としてどのように機能するかを浮き彫りにしています。より一般的な攻撃は直接的なものです。昨年12月に私がMicrosoftアカウントのログイン情報を盗もうとしたフィッシング詐欺について記事を書いたときもそうでした。QRコードをスキャンすると、フィッシング詐欺のウェブサイトに誘導されました。
復元されたWord文書に埋め込まれたQRコードの例(BleepingComputer経由)。この詐欺は、QRコードを利用して悪質なリンクをフィッシング対策の検出をすり抜けさせていました。
ブリーピングコンピューター
QRコードの最も危険な点は、様々な環境で表示される可能性があることです。中には、怪しい行為とは無縁の場所で表示されることもあります。これはオンラインの世界だけに限ったことではありません。外出中に不正なQRコードに遭遇する可能性は十分にあります。例えば、
- 物理的な広告:公共の場に貼られるチラシや請求書を想像してみてください。サービス、慈善活動、ビジネスなどに関する広告だと主張しているにもかかわらず、実際には偽のサイトに誘導したり、デバイスにマルウェアをダウンロードさせたりするのです。
- テキスト通信:友人、家族、または同僚がハッキングされた場合、個人情報を搾り取るためのフィッシング QR コードが送信される可能性があります。
- メール:同様に、知り合いや買い物をするお店から、個人情報の確認を求めるなりすましメールが届くことがあります。理由は多岐にわたります。
- 郵便物:偽の広告や悪意のあるQRコードが貼られた通知が郵便物に含まれている可能性があります。荷物も例外ではありません。最近流行している詐欺では、相手に一方的に商品を送付し、フィッシングQRコードを同封して個人情報(場合によっては金融情報も)を盗み出すという手口が見られます。
悪質なQRコードが特に巧妙に現れるのは、公共の場に貼られた正規のチラシや広告、あるいはパーキングメーターなどに紛れ込んでいる場合です。詐欺師は、正規のバーコードの上に偽のQRコードを貼り付けたり、貼り付けたりすることで、何も知らない人々を偽サイトに誘導します。個人情報だけでなく、クレジットカード情報などの金融情報も盗まれる可能性があります。
QRコードスキャンアプリも問題になり得ます。今ではサードパーティ製のアプリは必要ありません。AndroidとiOSの両方のスマートフォンのカメラアプリでQRコードを問題なく読み取ることができます。しかし、サードパーティ製のアプリは依然として存在しており、誰かがそれをダウンロードして、ユーザーのアクティビティをスパイしたりデータを盗んだりするマルウェアに感染するリスクを認識していない可能性があります。
マリエル・ウルスア / Unsplash
QRコード詐欺から身を守るには、どのコードをスキャンするかをよく考えましょう。また、リンクが状況に適切であるか、クリックした場合には関連する情報の入力を求められないかを確認してください。何かおかしいと感じた場合は、別の方法で情報にアクセスしたり、支払いを済ませたりしてください。
アカウントにパスキーなどの他の防御策を導入することもできます。このログイン方法はフィッシング攻撃に強いです。パスキーが利用できない場合、2要素認証は少なくともハッカーがアクセスするために通過しなければならない2つ目のチェックポイントを追加します。しかし、2要素認証はハッカーによって破られる可能性があるため、パスキーの方がより強力な手段です。(パスワード、2要素認証トークン、パスキーを安全に保管する必要がありますか?パスワードマネージャーを使えば、それらを安全に保管できます。)
もう一つの保護層として、ウイルス対策スイート(Microsoft 365 サブスクリプションに含まれる Microsoft Defender など)が挙げられます。これらのスイートは一般的に、フィッシング対策を含むモバイル保護機能を提供しています。ただし、万全というわけではありません。そのため、セキュリティ対策には階層的なアプローチが依然として最善策です。
QRコードはほぼどこにでも存在するため、何も知らない人を騙そうとする詐欺も横行しています。しかし、既にセキュリティ対策を講じているのであれば、少しの事前対策でこうした面倒な事態を回避できます。
著者: Alaina Yee、PCWorld 上級編集者
テクノロジーとビデオゲームのジャーナリズムで14年のキャリアを持つアライナ・イーは、PCWorldで様々なトピックをカバーしています。2016年にチームに加わって以来、CPU、Windows、PCの組み立て、Chrome、Raspberry Piなど、様々なトピックについて執筆する傍ら、PCWorldのバーゲンハンター(#slickdeals)としても活躍しています。現在はセキュリティに焦点を当て、人々がオンラインで自分自身を守る最善の方法を理解できるよう支援しています。彼女の記事は、PC Gamer、IGN、Maximum PC、Official Xbox Magazineに掲載されています。
