QRコードの安全確認方法、フィッシング詐欺に遭うことも？手口と対策を解説

QRコードの普及と利便性

QRコードは、商品の詳細情報やウェブサイト、アプリのリンクなどを簡単に共有できる便利なツールとして、日常生活に広く浸透しています。スマートフォンのカメラ機能を使って手軽にスキャンできるため、店舗での決済、イベントのチケット確認、公共交通機関の案内、観光地のガイド表示など、多くの場面で見かけるようになりました。

QRコード自体の解説はこちらをご参照ください

特に、コロナ禍における「非接触」ニーズの高まりもあって、QRコードはさらに多くの場面で採用されています。たとえば、飲食店のメニュー表示や決済方法、アンケートの回答など、接触を最小限に抑えつつ必要な情報にすぐアクセスできる点で利用が進んでいます。

しかし、こうした便利さの一方で、QRコードの仕組みを悪用したフィッシング詐欺やウイルス感染といったサイバー犯罪が増加傾向にあります。QRコードが一見して安全かどうかを判断するのが難しいため、意図しないリンクに誘導されたり、悪意あるソフトウェアがダウンロードされたりするリスクがあるのです。

QRコード特有のセキュリティ上の危険性

QRコードは仕組み上、テキストデータを格納できるようになっています。単なるテキストデータなので読み取った瞬間にマルウェアにかかるようなことは基本的には起こり得ません。よってQRコード自体には危険性はありません。

しかし実際には読み取ったテキストデータはURLのアクセス等に使用されるので実社会でのセキュリティ上では注意が必要です。

特にQRコードの特徴によって考えられるセキュリティ上の懸念は大きく以下の２点です。

• 一見して安全かどうか判断するのが難しい
• QRコード化されたURLにはメールフィルタが効かない

一つめの「一見して安全かどうか判断が難しい」という点を詳しく解説します。

皆様があるサイトへアクセスする際、ドメインを見て安全かどうか判断することがあるかと思います。

しかしQRコードではデータの中身が何なのか一見して判断することができないので、本来では防げた悪意あるサイトへの訪問をしてしまう可能性が高まります。

二つ目のメールフィルタについてです。通常、悪意のあるURLへのリンクがあるメールはセキュリティソフトによって弾かれます。

しかしメールフィルタは添付されているQRコードの中身までは解析しないこともあるのでメールフィルタを突破してしまうことがあります。

以上２点が特にQRコードの性質上考えられる懸念点です。

では具体的にどのような場面で気をつければ良いかを解説します。

QRコードリーダーに気を付ける

1点目はQRコードリーダーです。

実際にGoogle Play上で1,000万回以上のダウンロード数があった「Barcode Scanner」にマルウェアが仕込まれるということがありました。

アプリのアップデートの際に製作者の意図せずにマルウェアが混入してしまったようで、このアプリは現在Google Play上から削除されています。

この例では広告が表示されるマルウェアであったようですが、信頼できるアプリを使用しないと読み取り内容が外部に漏れる危険性も考えられます。

できればスマートフォンでは純正のアプリを使用するようにしましょう。

純正アプリで機能が不足している場合は下記のサービスがおすすめです。

日本の会社が運営しており、ブラウザ上のみでデータを処理するので読み取り内容が漏れる心配がありません。

ブラウザでQRコードの中身を確認できるサービスはこちら

QRコードのフィッシング詐欺（Quishing: クイッシング）に気をつける

前述の通りURLをQRコード化すると人間の目では一見してデータの中身がわからないことからフィッシングサイトへの誘導に使用されることがあります。

QRコードを利用したフィッシング詐欺をQuishing（クイッシング）といいます。

Quishing（クイッシング）概要、手口、可能な対策など次以降のセクションで解説します。

QRコード詐欺、別名「クイッシング（Quishing）」は、QRコードとフィッシング（Phishing）を組み合わせた新たな詐欺手法です。

クイッシングでは、悪意のある第三者が偽のQRコードを利用して、ユーザーを詐欺サイトに誘導したり、ウイルスをインストールさせたりして、個人情報や財産を不正に取得することを目的としています。

報告急増？QRコード詐欺のクイッシング（Quishing）とは？

クイッシングの主な手口としては、以下のようなものが挙げられます：

1. 偽のQRコードへ貼り替え

偽のQRコードが、公共の掲示物や店舗、ATMなどに貼り付けられるケースです。

利用者は正規のQRコードと見分けがつきにくいため、気づかずにスキャンしてしまい、悪意のあるフィッシングサイトに誘導されることがあります。

たとえば、偽のQRコードが決済用コードの上に貼られていると、振り込んだお金が詐欺犯に直接送金される可能性もあります。

2. メールやメッセージアプリ、DMでの誘導

クイッシングのもう一つの手口として、SMSやメール、メッセージアプリ、ダイレクトメールを利用した方法があります。

見覚えのない会社や不審な内容のメッセージにQRコードが添付されており、それをスキャンすると、偽のログインページやウイルスを仕込んだサイトにアクセスさせられることがあります。

こうした詐欺手口は、公式を装うことが多いため、思わずスキャンしてしまいがちです。

3. 悪意あるアプリやウイルスのダウンロード

QRコードをスキャンした後、特定のアプリやファイルのダウンロードを促す手口もあります。

これらのアプリやファイルにウイルスが仕込まれていると、個人情報の流出やスマートフォンの遠隔操作などが行われるリスクが生じます。

以上がクイッシングの手口です。

QRコードはその内容が目に見えないため、安全かどうかを瞬時に判断することが難しく、詐欺犯に悪用されやすい特性を持っています。

QRコードを利用する際には、少しの違和感でも慎重に確認し、安全確認を徹底することが求められます。

クイッシングや不正アプリなど危険性があることがご理解いただけたかと思いますが、実生活ではQRコードを使用しないわけにはいかないと思います。

そこで個人レベルでできる対策をいくつか挙げます。

事前に読み取り内容を確認

iPhone等の内臓されているアプリでは読み取り後URLの場合、即アクセスしてしまうはずです。

怪しいQRコードが含まれる場合はiPhone等の内臓アプリで読み取る前に以下のような無料で内容確認ができるサイトで読み取ってみてください。

無料で画像からQRコードの内容確認

画像を選択するだけでQRコードの検出、中身の確認が可能です。

ウェブカメラを起動してQRコードの内容確認をする場合はこちら

URLの安全性を確認

以下のような無料で利用できるサイトの安全性確認ツールを利用してアクセスするか判断の補助に使用することもできます。

トレンドマイクロ社 ウェブサイトの安全性評価

短縮URLはアクセス禁止

QRコードに短縮URLが含まれている場合はできればアクセスを控えるのがおすすめです。

短縮URLを利用している場合、アクセス時点では本来のURLはアクセスしてみるまでわかりません。

また短縮URLの仕組み上、一度アクセスして大丈夫であった場合でも再度リダイレクト先のURLが変えることもできます。

怪しいQRコードかつ短縮URLを利用している場合はアクセスを控えることがおすすめです。

その他会社のセキュリティ担当者レベルで実行できる対策もいくつか挙げます。

WEBフィルタリングを利用

QRコードにおいては、データを読み取ってからどう扱うかがセキュリティ対策の肝になります。

前述したクイッシングがQRコードの悪用として増加傾向にあります。

フィッシングサイトに騙されないようにアクセスできるウェブをフィルタリングするのが本質的な対策となります。

WEBフィルタリングではホワイトリスト（アクセス許可リスト）形式とブラックリスト（アクセス禁止リスト）形式があるので、業務の実態に合わせて選択・導入を検討してください。

アプリやソフトのインストールを制限

会社で利用するスマートフォンではインストールするアプリを制限するのがおすすめです。

前述の通りアプリ自体にマルウェアが仕込まれているケースもあります。

またPC自体にもソフトウェアを従業員自身の判断でインストールできないような仕組みづくりが大切です。

とはいえ業務でQRコードの読み取りが必要な場合には安全にインストールできるアプリやソフトを選定して許可するのが良いでしょう。

ウイルス（マルウェア）対策ソフトの導入・更新

QRコード詐欺やクイッシングのリスクに備えるためには、ウイルス（マルウェア）対策ソフトを導入し、定期的に更新することが重要です。

ウイルス対策ソフトは、悪意あるコードがスマートフォンやPCに侵入しようとする際に検知・防御し、個人情報の流出やデバイスの不正操作を防ぐ役割を果たします。

ウイルス対策ソフトの導入や更新を行う際に押さえておきたいポイントは以下のとおりです。

1. 信頼できる対策ソフトを選ぶ

まず、信頼性の高いウイルス対策ソフトを選ぶことが重要です。無料版や体験版もありますが、機能が制限されていたり、最新の脅威に対応しきれない場合もあります。特にスマートフォン向けの対策ソフトは、認証機関やユーザーレビューで評価の高いものを選ぶと安心です。

2. 定期的な更新で最新の脅威に対応

新しいウイルスやマルウェアは日々進化しており、最新の脅威に対処するためにはソフトのアップデートが欠かせません。定期的な更新によって、新たなマルウェアへの対応能力を保持できます。自動更新を設定することで、アップデートを忘れる心配もありません。

3. スマートフォン用対策ソフトの活用

スマートフォンにも、デバイス専用の対策ソフトをインストールすることが推奨されます。スマートフォンはQRコードを読み取る機会が多いため、不正サイトにアクセスしたり、悪意あるアプリをダウンロードするリスクが高くなります。スマートフォン用の対策ソフトには、スキャン機能やブラウザ保護機能が備わっているものが多く、詐欺やウイルス感染のリスク軽減に役立ちます。

4. 不審な動きに気づいたらすぐにスキャン

万が一、QRコードをスキャンした後に不審なページが表示されたり、動作が不安定になったりした場合は、すぐに対策ソフトを用いてスキャンを行いましょう。問題が検出された場合には、ガイドに従って適切な対処を行うことが大切です。

ウイルス対策ソフトを活用し、適切なセキュリティ対策を講じることで、QRコードの悪用リスクを大幅に減らすことができます。

セキュリティ教育の実施

QRコード詐欺やクイッシングのリスクから会社を守るためには、ウイルス対策ソフトの導入や基本的な対策だけでなく、定期的なセキュリティ教育の実施が必要です。

以下に、セキュリティ教育のポイントを紹介します。

1. QRコードを利用した詐欺の手口を知る

QRコードを悪用した詐欺の実例や手口を知ることは、リスクに対する意識を高める第一歩です。例えば、偽のQRコードを使ったフィッシング詐欺やウイルス感染の具体例、過去の被害事例を共有することで、普段何気なくスキャンしているQRコードにも注意を払うようになります。

2. QRコードを利用するルールを決め周知する

「公式のアプリのみスキャンする」「見知らぬ場所に貼られたQRコードは慎重に扱う」「スキャン後、すぐに個人情報を入力しない」といったルールを周知することで、詐欺に対する耐性が高まります。

3. 定期的なテストの実施やチェックリストの活用

定期的なテストやチェックリストの活用も効果的です。特に、QRコード詐欺や不正アクセスの危険性に関する質問を盛り込み、社員が知識を正しく理解しているか確認しましょう。

4. リスクシミュレーション

リスクシミュレーションを行うことも、実践的な学習に役立ちます。例えば、フィッシング詐欺に見立てた体験学習を行い、「どのように不正なサイトを見分けるか」を実地で確認することで、現実的な意識向上を促すことができます。

5. 発生後報告演習

クイッシング等詐欺にあった場合を想定して社内の報告・対策フローを演習するのもおすすめです。実際に詐欺に遭った場合は本人は報告するのを躊躇い被害が拡大することもあります。

6. セキュリティ対策の最新情報を共有

サイバー攻撃の手口は日々進化しています。そのため、新しい詐欺手口やウイルス対策、最新の詐欺対策について情報を共有し続けることが重要です。社内のメルマガや情報共有の場を通して、セキュリティの最新情報を共有する仕組みを作りましょう。

この記事ではQRコードの安全確認方法やセキュリティ対策を解説してきました。

QRコード特有のセキュリティ上の懸念があることはご理解いただけたかと思います。

ただ一方QRコードは現代社会と切っても切り離せないものなので正しいポイントを押さえて個人や会社で利用するのがおすすめです。

無料でQRコードの内容確認ができるサイトはこちらがおすすめです