QRコードはスキャンするだけでウェブサイトに移動できて便利ですよね。その手軽さから、QRコードはウェブサイトや配布されるパンフレット、街中の印刷物など、色々なものに追加に載っています。
しかし最近、そのQRコードによる被害が増えているそうです。その手法はいくつかありますが、特に大きなものを2つ紹介します。
1つは、QRコードのリンクをフィッシングサイトに繋がっていて、架空請求などの被害に遭うというものです。もう1つが、悪意あるサイトにリンクされていて、アクセスするとマルウェアなどのウィルスに感染してしまいます。
As mobile marketers latch onto the convenience and cool-factor of QR codes, hackers are starting to take advantage of these square, scannable bar codes as a new way to distribute malware. Like all mobile attack vectors, it is a new frontier that security researchers say is not extremely prevalent, but which has a lot of potential to wreak havoc if mobile developers and users stand by unaware.
危ないQRコードはどこにあるの?
では、一体どのようにして、悪意あるQRコードと遭遇するのでしょうか? このパターンも、だいたい2つあります。
1、スパムメールで配布される。2、空港や繁華街などのポスターのQRコードが上書きされているというものです。
1のスパムメールは、最近メインアカウントで遭遇しなくなりましたが、色々なサイトに登録しているサブアカウントの迷惑メールを見ると、まだまだスパムメールが蔓延しているようです。そのスパムメールにQRコードが入っていて、読み込んでしまうとマルウェアや架空請求などの被害に遭ってしまいます。
ただ、こちらは、スパムメールに対しての警戒心があれば、防ぐことができます。
一方、2のポスターのQRコード上書きについてはスパムメールより悪質です。空港や繁華街には多くのポスターが貼ってありますね。そのポスターはウェブサイトへのトラフィックを増やすためにQRコードが掲載されていることも珍しくありません。これは企業やNPO団体などのポスターということで信頼感がありますよね。だから、QRコードをスキャンしてしまいます。しかし、ここに罠がある場合があります。悪意あるサイトのQRコードを上から貼り付けて、あたかも企業のQRコードと錯覚させるのです。
企業のサイトへアクセスしたらマルウェアに感染した……と思うと、ぞっとしますね。
Security watchers have already seen spam messages pointing to URLs that use embedded QR codes. Now crooks have gone one step further by printing out labels and leaving them in well trafficked locations.
Warren Sealey, director enterprise learning and knowledge management, Symantec Hosted Services explained: “we’ve seen criminals using bad QR codes in busy places putting them on stickers and putting them over genuine ones in airports and city centres.”
That square QR barcode on the poster? Check it’s not a sticker—The Register
対策は?
QRコードを見ただけでは、そのリンク先が本物か、悪意あるサイトか判断することができません。では、どのようにして、このようなQRコードから身を守ればよいのでしょうか?
先ほどの『That square QR barcode on the poster? Check it’s not a sticker』の中で、シマンテック社のシアン・ジョン氏は以下のように述べています。
“If users want to make sure that their mobile is protected they should consider a QR reader that can check a website’s reputation before visiting it,”
アクセスするサイトのURLを表示してくれる(確認できる)QRコードリーダーを使うことが対策になるとのこと。
また、企業側がアクセスするサイトのURLをポスターに記載することで、より安全性を高めることができます。
QRコードはユーザーにとっても企業にとってもメリットがあるものなので、お互いが安全性に気を使う必要があるのではないでしょうか。
ちなみに、最初のQRコードは弊社のQRコードなので、安心してご利用ください!
