サイバーセキュリティ 
特権ID管理(PIM)とは、組織内のデータやネットワ
QRコードフィッシング詐欺は一般的に「クイッシング」と呼ばれ、ユーザーを騙してQRコードをスキャンさせ、ログイン情報やクレジットカード番号などの個人情報を盗み出すフィッシング攻撃の一種です。
でも、どのQRコードが安全かなんて、わかりませんよね?
そこで、クイッシングとフィッシングの違い、その仕組み、危険な理由、QRコードフィッシング詐欺の兆候と被害に遭わないようにそのQRコードが安全か確認する方法をご紹介します。
QRコード詐欺のクイッシングとは?
QRコードフィッシング詐欺は、冒頭でも紹介した通り、「クイッシング」と呼ばれ、悪意のあるQRコードを使って、ユーザーから個人情報や金融情報を不正取得する手法です。この種の詐欺では、犯人は偽のQRコードを作成し、それを公共の場所に掲示したり、メールやソーシャルメディアを通じて送信したりしてきます。ユーザーがそのQRコードをスキャンすると、偽のログインページやマルウェアが含まれたウェブサイトに誘導されます。その結果、ユーザーは知らず知らずのうちに大事な個人情報を入力したり、マルウェアに感染したりしてしまうことがあります。
QRコード詐欺の主な手口と仕組み
QRコード詐欺の仕組みと手口をここで紹介します。
1.偽のQRコード
犯罪者は、悪意のあるウェブサイトへのリンクが埋め込まれた偽のQRコードを作成します。
またこのQRコードの見た目は至って普通のQRコードなので、URLを見分けなければわかりません。
2. 人目につくところで配布
この偽のQRコードは、公共の場所に掲示されたり、Eメールやソーシャルメディア、チラシなどを通じて配布されます。
3. 被害者がスキャン:
ユーザーがこのQRコードをスキャンすると、偽のウェブサイトにリダイレクトされます。このウェブサイトは、正規のサービスのログインページなどに似せて設計されていることが多いです。
4. 情報の盗難またはマルウェア感染
ユーザーがこの偽のウェブサイトで自分の情報(ログイン情報、クレジットカード情報など)を入力すると、その情報が攻撃者に盗まれてしまいます。
もしくは、そのスキャンしたURLの先で、マルウェアが仕込まれたWebサイトであることもあります。
主なQRコード詐欺の手口はこのようになっています。
クイッシングとフィッシングの違いは?
フィッシング攻撃は、人をだまして個人情報を得るためのサイバー攻撃です。フィッシング攻撃では、犯罪者がEメールやテキストメッセージを使って、危険な添付ファイルやリンクを送りつけます。これらのリンクをクリックすると、ユーザーはデバイスにマルウェアがダウンロードされたり、偽のウェブサイトで個人情報を盗まれたりする危険にさらされます。
クイッシングもフィッシングの一種ですが、こちらはメールやメッセージの代わりに「QRコード」を使います。QRコード詐欺では、ユーザーがこのQRコードをスキャンすると、悪意のあるウェブサイトに誘導されます。フィッシングとクイッシングはどちらも同じ目的である個人情報の不正入手を狙っていますが、使う方法が違います。
QRコード詐欺の「クイッシング」を見分ける方法
QRコード詐欺は、リンクや添付ファイルの代わりにQRコードを使用するため、検出が困難です。 しかし、それでもQRコード詐欺の兆候を見つけることは可能です。なぜなら、それらはフィッシング攻撃のものと似ているからです。 以下は、注意すべき「QRコード詐欺」の兆候です。
知らない人から送られてきたQRコード
QRコード詐欺では犯罪者がしばしば、本物の企業や同僚になりすまし、あなたにQRコードを送ってスキャンさせようとします。 ただし、送信者の名前とメールアドレスが一致しないなど、送信者の名前とメールアドレスの不一致に気づく場合があります。 そうしたメールは、GoogleやYahooなどのパブリックドメインからも送信されることがあります。
メッセージのスペルまたは文法上の誤りがある
QRコードでメッセージにスペルや文法上の誤りを見つけた場合、それはQRコード詐欺の兆候です。 本物の企業の場合は、送信する前に、スペルや文法上の間違いがないかメールを複数回チェックしています。 メッセージにスペルや文法上の誤りが含まれている場合、それはおそらく本物の企業になりすまそうとしているサイバー犯罪者です。
QRコードを緊急にスキャンするよう促す文言
QRコードのついたメッセージが緊急にQRコードをスキャンさせようとしている場合は、QRコード詐欺の可能性が最も高いと言えます。 サイバー犯罪者は緊急性をあおる言葉によってQRコードをスキャンさせ、個人情報を入力させようとしてきます。例えば、以下のような文章を見かけた場合は気をつけましょう。
・「限定セール!今すぐクリックして50%オフのクーポンをゲット!」
・「警告!あなたのアカウントは不正アクセスの試みがあったため、緊急にセキュリティ更新が必要です。」
・「銀行からの重要なお知らせ:アカウントの不審な活動が確認されました。こちらをクリックして身元を確認してください。」
などなど、これらはほんの一例ですが、緊急性を煽ってくることがあります。
QRコードのウェブサイトアドレスのエラー
QRコードをスキャンする際は、目的のページに移動する前に、ページへのリンクをプレビューできます。 リンクが短縮されている、読み取れない、スペルミスが含まれているなどといったことに気付いた場合、そのリンクが悪意のあるウェブサイトでのQRコード詐欺につながる可能性があります。 誤ってQRコードからリンクを開いてしまった場合は、そのウェブサイトのスペルミスやフォーマットミスなどといった不一致を確認したら、すぐにそのWebサイトを閉じましょう。
都合の良すぎるオファーがあるQRコード
一部のQRコードは、割引、特別オファー、無料などのお得な情報を宣伝しようとする場合があります。 もし、それらが都合の良すぎる話だと感じるのなら、おそらくその通りでしょう。 サイバー犯罪者は、悪意のあるQRコードをスキャンさせるためならどんな煽り文句でも使ってくると思ってください。
その個人情報を入力したり、行動を取る前に、そのオファーの内容は本物か確認すべきでしょう。
個人情報の提供要求してくる
突然であったり、特に誰からも促されていない個人情報の要求は、おそらくQRコード詐欺の兆候です。 正当なビジネスや職場の同僚は、ログイン認証情報やクレジットカード情報などのセンシティブな情報を電子メールやテキストで要求することはありません。
物理的なQRコードとのアクセスしたウェブサイト情報が不一致
QRコード詐欺が全てオンラインで試みられるわけではなく、一部の悪意のあるQRコードは、レストランや公園などの公共の場に設置されています。 チラシ、ポスター、ステッカーなどで配布され、スキャンすることができます。 悪意のあるQRコードが正当なコードに上書きされ、ユーザーを騙してスキャンさせるといったものもあります。 合法的なビジネスからの物理的なQRコードに不審な不一致がある場合、サイバー犯罪者によって改ざんされ、悪意のあるQRコードに置き換えられている可能性が最も高いでしょう。 QRコードの真正性を確認するためにも、直接その企業に連絡する必要があります。
QRコード詐欺の「クイッシング」から身を守る対策と安全か確認する方法
QRコード詐欺はユーザーの個人情報を盗む、比較的新しく危険な方法です。 しかし、従来のフィッシング詐欺の対策が、依然としてQRコード詐欺にも適用できます。 以下は、QRコード詐欺の被害者にならないようにする方法です。
不審なQRコードのスキャンを避ける
出元がわからない場合は、不審なQRコードをスキャンしないようにしましょう。 QRコードをスキャンするように促す非公式なメッセージが表示されたり、公共の場でQRコードが表示された場合は、悪意のあるウェブサイトにつながるクッシングの試みである可能性があるため、スキャンを避けるべきです。
QRコードのサイトアドレスを確認して、安全か矛盾点がないか確認する
QRコードをスキャンすると、QRコードのウェブサイトのアドレスがプレビューされ、クリックするとリンクが開きます。 クリックする前に必ずQRコードのリンクを確認し、URLに矛盾点がないか調べてください。 スペルミスや馴染みのないドメイン名に気づいたら、QRコードがあなたを悪意のあるウェブサイトに誘導している可能性が最も高いでしょう。
またGoogleのTranceparency Reportを使うことで、そのURLが安全なものか確認することもできます。
QRコードを送付してきた企業に連絡する
あなたが認識している会社や人からQRコードを受け取った場合は、他のコミュニケーション手段で直接企業や個人に連絡し、QRコードについて尋ねてみてください。 また、QRコードではなく、直接その企業のウェブサイトにアクセスすることもできます。
アカウントを保護するために、強力でユニークなパスワードを使用する
フィッシング攻撃と同様に、QRコード詐欺はログイン情報を盗み、アカウントにアクセスしようとします。 オンラインアカウントには、クレジットカード番号や自宅の住所などの個人情報を含む場合があります。 サイバー犯罪者から個人情報を保護するためには、ランダムで強力なパスワードを使用する必要があります。 強力で固有のパスワードにより、サイバー犯罪者があなたのアカウントにアクセスしにくくなります。
また、パスワードマネージャーを使用してパスワードを保存する必要もあるでしょう。 パスワードマネージャーは、個人の認証情報を暗号化されたボルトに安全に保存し、管理するツールです。 パスワードマネージャーは、暗号化を使用してログイン認証情報を保護し、マスターパスワードでのみアクセスが可能です。 パスワードマネージャーなら、必要なときにいつでもすべてのパスワードにアクセスできます。
パスワードマネージャーの中には、アカウントのログインページのURLを保存し、フィッシングの試みを防ぐのに役立つものもあります。 パスワードマネージャーはアカウントにログインしようとするたびに、保存されたログインページでログイン認証情報を自動入力します。 ただし偽のウェブサイトの場合、Keeperのようなパスワードマネージャーはログイン認証情報を自動入力せず、サイバー犯罪者がログイン認証情報を盗むのを防ぎます。
アカウントで MFA を有効にする
多要素認証 (MFA) は、アカウントまたはデバイスへのアクセスにさらに認証形式を提供しなければならないセキュリティ対策です。 MFAを有効にすると、オンラインアカウントにアクセスできる人物のコントロールをさらに強化できます。 これは許可されたユーザーの識別性を検証することで、セキュリティにさらなるレイヤーを追加します。 ログイン認証情報がQRコード詐欺によって侵害された場合にも、サイバー犯罪者はアカウントにアクセスできません。なぜなら、アカウントはMFAによって保護されているからです。
ソフトウェアを最新の状態に保つ
サイバー犯罪者にデバイス上のセキュリティ脆弱性を悪用されないようにするには、ソフトウェアを最新の状態に保つ必要があります。 ソフトウェアアップデートには、セキュリティ上の欠陥を取り除き、デバイスをより安全に保護する新しいセキュリティ機能を追加するパッチが付属しています。
ウイルス対策ソフトウェアをインストールする
ウイルス対策ソフトウェアは、検出と防止が可能で、デバイスへの感染から既知のマルウェアを削除できるプログラムです。 携帯電話にマルウェアをインストールされてしまうQRコード詐欺を防ぐために、ウイルス対策ソフトウェアをインストールする必要があります。 誤ってQRコード詐欺でQRコードをスキャンし、悪意のあるウェブサイトに移動してしまった場合でも、ウイルス対策ソフトウェアにより、マルウェアがデバイスに自動的にインストールされるのを防ぎます。
まとめ:KeeperでQRコード詐欺被害に遭わない対策を
QRコード詐欺はどこに潜んでいるかもわからない詐欺の1つですが、しっかり対策をすることで詐欺に遭う確率を減らすことはできます。
それは、疑わしい不審な出元のQRコードを避け、強力で固有のパスワードを使用して、MFAを有効にし、ソフトウェアを最新に保ち、デバイスにウイルス対策ソフトウェアをインストールすることです。
しかし、QRコード詐欺から身を守る最良の方法は、パスワードマネージャーを使用することです。 パスワードマネージャーを使用すると、ログイン認証情報がさまざまなレベルの暗号化により保護されます。
この機会にKeeperパスワードマネージャーの30日間の個人版フリートライアルまたは、14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。
