Written by WizLANSCOPE編集部
目 次
QRコード詐欺とは、QRコードを悪用したフィッシング詐欺の一種で、「クイッシング」とも呼ばれます。
QRコード詐欺の被害にあうと、個人情報や認証情報を窃取されるだけでなく、マルウェアに感染してしまうリスクもあります。
スマートフォンが日常生活に欠かせない存在となった近年、QRコードは非常に身近なものとなっています。そのため、QRコード詐欺の手口を理解していないと、気付かないうちに被害に遭ってしまう可能性があります。
こうした被害を防ぐためにも、本記事ではQRコード詐欺の概要をはじめ、代表的な手口や見分け方、有効な対策などを解説します。
▼本記事でわかること
- QRコード詐欺の概要
- QRコード詐欺の手口
- QRコード詐欺の見分け方
- QRコード詐欺への対策
「QRコード詐欺とは何か」「どのような手口が使われるのか」などを知りたい方はぜひご一読ください。
QRコード詐欺(クイッシング)とは
QRコード詐欺とは、QRコードを悪用したフィッシング詐欺の一種で、クイッシング (Quishing)とも呼ばれています。
QRコードは、カメラで読み取るだけで簡単にWebサイトにアクセスできるというメリットがあります。
日常生活でも目にする機会が多く、飲食店のメニューや各種案内など、幅広い場面で利用されています。
こうした利便性を悪用し、攻撃者は偽のQRコードを作成して設置し、そこから詐欺サイトに誘導しようとします。
QRコード詐欺の厄介な点は、QRコードを読み取る前に、誘導先のWebサイトのURLを確認できないことです。
従来のフィッシング詐欺では、メールやSMSに記載されたURLを目視で確認し、違和感に気付いて被害を回避することも可能でした。
しかし、QRコードの場合は、一見しただけでは違和感に気付くことは困難です。
さらに、メールの本文内に詐欺サイトのURLが記載されていないため、メールフィルタなどテキスト解析を行うセキュリティ対策を回避できてしまうという危険性もあります。
このようにQRコード詐欺は、従来のフィッシング詐欺と比べて巧妙で、利用者が気付かないうちに被害に遭いやすい手口といえます。
QRコード詐欺(クイッシング)の代表的な手口
QRコード詐欺の代表的な手口を3つ紹介します。
- フィッシングサイトに誘導して情報を盗む
- 偽サイトに誘導してマルウェアに感染させる
- 不正な取引に誘導して金銭をだまし取る
詳しく確認していきましょう。
フィッシングサイトに誘導して情報を盗む
正規サイトと酷似したフィッシングサイトを作成し、QRコードを読み取らせて誘導する方法があります。
利用者を偽のサイトに誘導し、認証情報やカード情報を入力させることで、情報を盗み取ります。
QRコードを読み込ませる手段としては、フィッシングメールにQRコードを添付する方法がよく使われます。
例えば、攻撃者が大手ECサイトを装い、「支払い方法に問題があります」「至急ご確認ください」といった内容のフィッシングメールを送りつけ、本文中に偽サイトに誘導するQRコードを掲載します。
▼フィッシングメールの文面例
出典:フィッシング対策協議会|Amazon をかたるフィッシング (2023年1月5日)
フィッシングメールだと気付かずにQRコードを読み込んでしまうと、大手ECサイトと見分けがつかないほどに精巧に作られたフィッシングサイトへ誘導され、ログイン情報やカード情報の入力を求められます。
偽サイトに誘導してマルウェアに感染させる
QRコードを読み取らせて偽のWebサイトへ誘導し、そこでマルウェアに感染させる手口もあります。
マルウェアに感染してしまうと、デバイス内に保存されている個人情報や認証情報を窃取されるだけでなく、デバイスを遠隔操作されるなど、深刻な被害につながる可能性があります。
不正な取引に誘導して金銭をだまし取る
偽のQRコードを読み込ませて、不正な取引や決済に誘導する手口も報告されています。
具体的には、店頭や公共の場などに設置されている正規のQRコードの上に、偽のQRコードを貼り付けるといった方法があります。
利用者が気付かずに読み取ってしまうと、不正な決済ページへ誘導され、金銭をだまし取られる恐れがあります。
実際に海外では、自転車のシェアリングサービスや駐車場などの支払いQRコードが貼り替えられ、攻撃者に金銭が送金されていた被害事例も確認されています。
QRコードは、一見しただけでは正規のQRコードとは見分けがつかないため、非常に厄介な手口といえます。
QRコード詐欺(クイッシング)の被害事例
ここでは、QRコード詐欺の実際の被害事例を紹介します。
2023年11月、大手自動車用品販売業者において、会員向けに発送されたダイレクトメール(DM)に記載されたQRコードを読み込むと、不正な広告サイトへ誘導されるという事案が相次いで発生しました。
当該QRコードを読み込むと、公式サイトと酷似した見た目の海外のサイトへと誘導され、クレジットカード情報が抜き取られる被害や、不正利用されたという被害が報告されています。
本事案の原因として指摘されているのが、QRコードと組み合わせて利用されていた、短縮URLサービスです。
QRコードはURLが長すぎると、ハガキなどの印刷物に掲載が難しくなるため、当該販売業者は短縮URLサービスを利用していました。
しかし、一部の短縮URLサービスでは、最終的n転送先に遷移する前に、広告ページを経由する仕組みがあり、今回はその広告枠に悪意のある広告が表示されたことで、不正なサイトに誘導されていたことが判明しています。
本事案を受け、業者側はQRコードの読み込みをしないよう公式サイトで呼びかけるとともに、再発防止に向けた対策を進めています。
QRコード詐欺(クイッシング)の見分け方
ここでは、メールにおけるQRコード詐欺の見分け方を解説します。
QRコードが添付されたメールが届いた場合は、まず、以下のような特徴がないか確認しましょう。
- 不安を煽るような内容になっていないか
- メールの文面に不自然な日本語や誤字脱字がないか
- 送信元のメールアドレスが公式のものと一致しているか
詐欺を目的としたメールの多くが、アカウントの凍結や未払いの請求など、緊急性を強調し、利用者の不安を煽る傾向にあります。
例えば、「今すぐ対応が必要です」「対応しなければ法的措置を取ります」といった文言が記載されている場合は、特に注意が必要です。
こうした不安を煽る文言が記載されていても、すぐにメールの指示には従うのではなく、落ち着いて内容を確認しましょう。
文面に違和感がないか、送信元のアドレスが公式のものと一致しているかなどを慎重に確認することが重要です。
QRコード詐欺(クイッシング)への対策
QRコード詐欺の被害を未然に防ぐためには、以下のような対策を講じることが重要です。
- 多要素認証の導入
- アンチウイルスの導入
- 従業員へのセキュリティ教育の実施
- Webフィルタリングの導入
本記事で紹介する4つの対策は、QRコード詐欺はもちろん、そのほかのサイバー攻撃への対策にも役立つ基本的なセキュリティ対策です。
取り組んでいない対策がある場合、ぜひ導入をご検討ください。
多要素認証の導入
多要素認証とは、ユーザーの身元確認を強化するために、「知識情報」「所持情報」「生体情報」のうち、2つ以上の要素を組み合わせるセキュリティ手法です。
| 知識情報 | ・パスワードなどの特定のユーザーのみが知っている情報 |
|---|---|
| 所持情報 | ・スマートフォンやICカードなど利用者本人が所持している情報 |
| 生体情報 | ・指紋や静脈、顔、虹彩など、本人固有の身体情報 |
多要素認証を導入していれば、フィッシングサイトにID・パスワードを誤って入力し、攻撃者に認証情報が窃取された場合でも、認証を突破されるリスクを大幅に低減することができます。
アンチウイルスの導入
偽のQRコードを読み込んで不正なサイトに誘導された際、デバイスの脆弱性を悪用されたり、不正なアプリのインストールを促されたりすることで、スマホにマルウェアが自動的にインストールされてしまう可能性があります。
こうしたリスクに備えるためにも、マルウェアの侵入を検知・ブロックする「アンチウイルス」を導入することが推奨されます。
なお、アンチウイルスを導入後は、定期的にアップデートを行い、OSやアプリも含めて常に最新の状態を保つことも重要です。
これにより、新たな発見された脆弱性や最新の脅威にも対応しやすくなります。
従業員へのセキュリティ教育の実施
どれだけ高精度のセキュリティソリューションを導入していても、従業員のセキュリティ意識が低いままでは、メールに添付されたQRコードを安易に読み込んでしまう危険性が残ります。
そのため、従業員に対して情報セキュリティ教育を継続的かつ定期的に実施し、QRコード詐欺をはじめとするサイバー攻撃の手口や危険性について共有することが重要です。
あわせて、不審なメールを受信した場合の対応方針や報告フローをあらかじめ明確にしておくことで、万が一の際にも迅速かつ適切な対応が可能になります。
Webフィルタリングの導入
Webフィルタリング機能の導入も、QRコード詐欺への有効な対策の一つです。
Webフィルタリングを導入し、管理者側が不適切なWebサイトのカテゴリやURLを設定することで、偽サイトや悪意のあるサイトへのアクセスを未然に防ぐことができます。
Webフィルタリングの方法には、ブロックすべきサイトを企業側で設定する「ブラックリスト方式」や、あるいは業務に関連するサイトのみを閲覧可能とする「ホワイトリスト方式」などの種類があります。
QRコード詐欺(クイッシング)対策に「LANSCOPEソリューション」
QRコード詐欺にあうと、フィッシングサイトに誘導されたり、マルウェアが自動的にインストールされたりする危険性があります。
こうした被害への対策として、本記事では2つのLANSCOPEソリューションを紹介します。
- 不正なWebサイトの閲覧を制御できるIT資産管理・MDM「LANSCOPE エンドポイントマネージャー クラウド版」
- 各種ファイル・デバイスに対策できる次世代AIアンチウイルス「Deep Instinct」
それぞれの機能について紹介します。
不正なWebサイトの閲覧を制御できる「LANSCOPE エンドポイントマネージャー クラウド版」のWebフィルタリング機能
IT資産管理・MDM「LANSCOPE エンドポイントマネージャー クラウド版」では、管理者がWebサイの利用状況を把握し、指定したカテゴリに含まれるサイトの閲覧を制限できる「Webフィルタリング機能」を提供しています。
全26種・148カテゴリ(ユーザー定義カテゴリを含む)に基づき、「許可」「書き込み規制」「規制」「一時解除」の4段階でアクセス制御を行うことが可能です。
これにより、業務に不要なサイトやリスクの高いカテゴリへのアクセスを柔軟にコントロールできます
その結果、従業員が不正なサイトにアクセスし、フィッシング詐欺の被害に遭うリスクの低減が期待できます。
※OSや利用環境によって動作仕様が異なります。導入前に体験版環境での動作確認をご利用ください。
3分で分かる!
LANSCOPE エンドポイントマネージャー クラウド版
PC・スマホをクラウドで一元管理できる「LANSCOPEエンドポイントマネージャー クラウド版」とは?についてわかりやすく解説します。機能や特長、価格について知りたい方はぜひご活用ください。
各種ファイル・デバイスに対策できる次世代AIアンチウイルス「Deep Instinct」
「Deep Instinct」は、AI(ディープラーニング)を活用した次世代ウイルス対策ソフトです。
以下のようなニーズをお持ちの企業・組織の方に最適なセキュリティソリューションです。
- 未知・亜種のマルウェアにも検知したい
- 実行ファイル以外のファイル形式(Excel、PDF、zipなど)にも対応したい
- 手頃な価格で高性能なアンチウイルスを導入したい
近年の攻撃者は、従来型の検知を回避するために、実行ファイルに限らず、ExcelやPDF・zipなど、多様な形式のマルウェアを仕掛けてきます。
「Deep Instinct」は、形式を問わずにさまざまなファイルに対応しているため、多様な形式のマルウェアを検知可能です。
まとめ
本記事では、QRコード詐欺の概要や手口、有効な対策などを解説しました。
本記事のまとめ
- QRコード詐欺(クイッシング)とは、QRコードを悪用したフィッシング詐欺の一種
- QRコード詐欺の代表的な手口としては、「フィッシングサイトに誘導して情報を盗む」「偽サイトに誘導してマルウェアに感染させる」「不正な取引に誘導して金銭をだまし取る」などが挙げられる
- QRコード詐欺の被害にあわないためには、「多要素認証の導入」「アンチウイルスの導入」「従業員へのセキュリティ教育の実施」「Webフィルタリングの導入」といった対策を講じることが重要
従来のフィッシング詐欺では、メールの本文内に記載されたURLの不自然さに気がつくことで、被害を回避することが可能でした。
しかし、QRコード詐欺の場合、QRコードを見ただけでは誘導先を判断したり、違和感に気がついたりすることは困難です。
今後さらに手口が巧妙化していく可能性もあるため、技術的対策と人的対策の両面からセキュリティを強化することが重要です。
本記事で紹介したLANSCOPEソリューションは、QRコード詐欺をはじめとしたサイバー攻撃への対策に役立つ機能が搭載されています。
ぜひ自社に最適なソリューションを選定し、ご活用ください。
おすすめ記事
