Written by 夏野ゆきか
目 次
QRコード詐欺(クイッシング)とは、QRコードを悪用したフィッシング詐欺の一つです。QRコードは、デンソーウェーブが1994年に開発した登録商標です。高速読み取りを意図した2次元コードであり、今や世界中の様々なサービスで活用されています。
▼例:LANSCOPE エンドポイントマネージャー クラウド版 WebページのQRコード
QRコード詐欺(クイッシング)が、通常のフィッシング詐欺と比べ“手口を見抜きづらい理由”としては、
- ・ 詐欺サイトのURLがメールの本文に記載されているフィッシングメールと違い、誘導先サイトのURLが確認できない
- ・ 詐欺サイトのURLがメールの本文に記載されていないことから、メールフィルタなどのセキュリティソリューションで検出できない
ことなどが挙げられます。
QRコード詐欺(クイッシング)の被害にあうと、個人情報や認証情報を窃取されるだけでなく、マルウェア(悪意のあるソフトウェアやコードの総称)に感染する恐れもあるので、事前に多要素認証やアンチウイルス導入、Webフィルタリングなどの対策を行っておくことが重要です。
本記事では、QRコード詐欺(クイッシング)の概要や有効な対策などを解説します。
▼この記事でわかること
- QRコード詐欺(クイッシング)とは、QRコードを悪用したフィッシング詐欺の一種
- 「QRコードを読み取った際に誘導されるWebサイトのURLを確認できない」「メールフィルタなどテキスト認識をするセキュリティ対策を回避できる」という点で、危険性が高い
- 代表的な手口に「正規QRコードの上に偽のQRコードを貼る」「QRコードをフィッシングメールに添付する」「偽のダイレクトメールや広告などにQRコードを載せる」「正規のQRコードのリンク先を偽サイトに置き換える」などが挙げられる
- QRコード詐欺(クイッシング)の被害例として、「個人情報やシステムの認証情報の奪取」「端末の不正操作」「マルウェア感染」「不正取引」などがある
- 対策として、「多要素認証の導入」「アンチウイルスの導入」「従業員へのセキュリティ教育の実施」「安全性が確立されたQRコードリーダーの利用」などが有効
QRコード詐欺(クイッシング)とは
QRコード詐欺とは、QRコードを悪用したフィッシング詐欺の一種で、クイッシングとも呼ばれています。
QRコードは、読み取るだけで簡単に必要な情報(サイト)にアクセスできるというメリットがありますが、攻撃者はそれを悪用し、偽のQRコードを作成して詐欺サイトに誘導しようとします。
具体的には
- ・ 正規のQRコードの上に偽のQRコードを貼り付けて読み込ませる
- ・ 大手ECサイトなどを装ってフィッシングメールを送り、メールに添付した偽のQRコードを読み込ませる
といった手口が報告されています。
QRコード詐欺(クイッシング)の被害にあうと、個人情報が窃取されるだけでなく、マルウェアに感染するリスクもあるため、対策は必須といえます。有効な対策については、「QRコード詐欺(クイッシング)への対策」の章をご覧ください。
QRコード詐欺(クイッシング)の危険性
QRコード詐欺(クイッシング)の厄介な点は、QRコードを読み取った際に誘導されるWebサイトのURLを確認できないことです。
従来のフィッシング詐欺では、メールやSMSの本文内に詐欺サイトのURLが記載されていたため、見たことないドメインを使用しているなど、URLの違和感に気付いて被害を回避することも可能でした。
しかし、QRコード詐欺(クイッシング)の場合はURLではなくQRコードが添付されているので、一見しただけで違和感に気付くことは困難です。
また、メールの本文内に詐欺サイトのURLが記載されていないことから、メールフィルタなどテキスト認識をするセキュリティ対策を回避できてしまうという危険性もあります。
このように、QRコード詐欺(クイッシング)は従来のフィッシング詐欺よりも巧妙で、ユーザーがだまされやすい傾向にあります。
QRコード詐欺(クイッシング)は増加傾向
フィッシング対策協議会によれば、2023年の1年間に報告されたフィッシング詐欺の件数は119万件を超え、過去最悪となりました。
▼フィッシング報告件数の推移
※フィッシング対策協議会のデータをもとにエムオーテックスで作成
2022年のフィッシング詐欺報告総件数は約96万件だったので、1年間で22万件近く増加していることがわかります。
また、同協議会が2023年2月に報告した「フィッシング報告状況」によると、フィッシングサイトのURLをQRコードにして、それをフィッシングメールに添付する手口が増加しており、1000件以上の報告があったことが明らかになっています。
QRコードから他のサイトやサービスへのアクセスを促すメールは、フィッシングメールの可能性が高いため、安易に添付されたQRコード読み込まないようにしましょう。
QRコード詐欺(クイッシング)の代表的な手口
QRコード詐欺(クイッシング)の代表的な手口としては、以下が挙げられます。
- 1. 正しいQRコードの上に物理的に偽のQRコードを貼る
- 2. QRコードをフィッシングメールに添付する
- 3. 偽のダイレクトメールや広告、チラシなどにQRコードを載せる
- 4. 正しいQRコードのリンク先を偽サイトに置き換える
まず、公共の場になどに設置された正規のQRコードに偽のQRコードを上から貼り付けて、物理的に書き換える手段が考えられます。海外では、自転車のシェアリングサービスや駐車場などの支払いQRコードが貼り替えられ、金銭を騙し取られる事件が発生しています。
次に考えられるのが、先述したようなフィッシングメールにQRコードを添付する手口です。
大手ECサイトを装い、「支払い方法に問題がある」といったユーザーの不安をあおるような内容で偽のQRコードを読み込ませようとします。
▼実際の文面例
出典:フィッシング対策協議会|Amazon をかたるフィッシング (2023年1月5日)
また、架空のダイレクトメールや広告、チラシを作成して、QRコードを掲載するといった手口も存在します。自宅に届いたチラシから商品を注文したものの、商品は届かずクレジットカードの番号のみ騙し取られた、といった被害も多数報告されています。
さらに、「正規のQRコードのリンク先を詐欺サイトに変更する」といった手口も報告されています。攻撃者が有効期限切れのドメインを取得し、詐欺サイトにリンクさせることで、ユーザーを偽サイトへと誘導します。
このように、QRコード詐欺は通常のフィッシングに比べ罠に気づきづらく、またQRの読み取り後も被害を認識するまでに時間を要しやすい点が特徴です。
QRコード詐欺(クイッシング)による被害
QRコード詐欺(クイッシング)による被害は、以下のようなものが想定されます。
- ● 個人情報やシステムの認証情報が奪われる
- ● 不正に端末が操作されてしまう
- ● 端末がマルウェアに感染する
- ● 不正な取引をさせられる
誘導先のフィッシングサイトで、クレジットカード情報やID・パスワードなどを入力してしまった場合、それらの情報が攻撃者に奪われてしまいます。
個人情報やシステムの認証情報が攻撃者の手にわたった場合、特殊詐欺のターゲットにされたり、アカウントを乗っ取られたりと、さらなる被害拡大を招くリスクも十分予想されます。
またQRコード詐欺では、攻撃者によって端末が不正に操作されてしまう危険性もあります。
攻撃者はQRコードを読み取らせることで、Webサイトに誘導するだけでなく
- ・ 連絡先情報を追加する
- ・ Wi-Fiに接続する
- ・ テキストメッセージを送る
- ・ SNSアカウントを作成する
などの操作も可能となるためです。
▼不正操作の具体例
- ・偽のQRコードを読み込ませ、通信が暗号化されていない(通信内容が容易に傍受できる)など危険なWi-Fiに接続させる
- ・ QRコードを読み込んだスマートフォンにマルウェアを自動でインストールさせ、そのスマホを乗っ取る
他にも、近年増えているQRコード決済サービスを悪用し、不正な取引をさせる被害も出てきています。QRコードが改ざんされていることに気付かず決済サービスを利用してしまうと、攻撃者の口座に金銭が振り込まれてしまいます。
QRコード詐欺(クイッシング)の被害事例
ここでは、QRコード詐欺(クイッシング)の被害事例を紹介します。
| 被害企業 | 大手自動車用品販売業者 |
|---|---|
| 被害時期 | 2023年11月 |
| 被害原因 | 短縮URLの組み合わせ利用 |
| 被害内容 | 会員向けDMに記載したQRコードを読み込んだ際に会員が不正な広告サイトへ誘導された。 一部会員はクレジットカードを不正に利用された。 |
2023年11月、大手自動車用品販売業者にて、会員向けに発送したDM内のQRコードを読み込むと、不正な広告サイトに誘導される、という詐欺事件が相次いで発生しました。
コードを読み込んだユーザーは、同販売業者のWebサイトとよく似た偽の海外のサイトへと誘導され、クレジットカード情報が抜き取られる被害に。また一部会員は公式サイトと誤認してクレジットカード情報を入力してしまい、カードを不正に利用された件も明らかになっています。
本事件の原因は、QRコードと組み合わせて利用した、短縮URLサービスでした。
QRコードはURLが長すぎると、ハガキなどへの印刷が難しくなるため、当該販売業者は短縮URLサービスを利用。
短縮URLは、サービスによって直接転送先に遷移せず、一度広告を表示してから遷移するものがありますが、今回はその広告に悪意のある広告が表示され、不正なサイトに誘導されてしまったのです。
業者側はQRコードの読み込みをしないよう公式サイトで呼びかけ、再発防止の取組をおこないました。
QRコード詐欺(クイッシング)への対策
QRコード詐欺(クイッシング)の対策には以下の5つが有効です。
- 1. 多要素認証の導入
- 2. アンチウイルスの導入
- 3. 従業員へのセキュリティ教育の実施
- 4. 安全性が確立されたQRコードリーダーの利用
- 5. Webフィルタリングの導入
ここからは、それぞれの対策について解説します。
1. 多要素認証の導入
多要素認証とは、知識情報(パスワードなど)、所持情報(スマートフォンなど)、生体情報(指紋など)の中から、2つ以上の要素を活用して認証を行うセキュリティ手法のことです。
▼多要素認証のイメージ
この多要素認証を導入していれば、フィッシングサイトにID・パスワードを誤って入力し、攻撃者に認証情報が渡ってしまっても、認証を突破されるリスクを大きく低減することができます。
2. アンチウイルスの導入
偽のQRコードを読み込んだ際、スマホにマルウェアが自動的にインストールされてしまう可能性があります。そこで欠かせないのが、脅威の侵入を未然に防ぐ「アンチウイルス」の導入です。
アンチウイルスを導入した際には、定期的なアップデートを行い、新たな脅威に対応できるように常に最新の状態を保っておきましょう。
3. 従業員へのセキュリティ教育の実施
QRコード詐欺(クイッシング)への対策には、従業員へのセキュリティ教育の実施も重要です。
先述したように、QRコード詐欺(クイッシング)は、メールの本文にフィッシングサイトのURLが記載されておらず、詐欺サイトなのか判断が難しい傾向にあります。そのため、「メールなどに記載されているQRコードは安易に読み込まないようにする」ということを周知しましょう。
QRコードを読み込む前に、送信元や文脈をよく確認し、不審な点があればセキュリティ担当者に報告するということも徹底するようにしてください。
4. 安全性が確立されたQRコードリーダーの利用
無料で提供されているQRコードリーダーアプリは多数ありますが、中にはマルウェアが仕込まれているものもあります。現在は削除されていますが、過去にはGoogle Play内でマルウェアが含まれたQRコードリーダーアプリが存在していました。
無用なマルウェア感染を防ぐためにも、QRコードの読み取りには、スマートフォンにデフォルトで設定されたカメラアプリもしくはQRコードリーダーを使用しましょう。
5. Webフィルタリングの導入
管理者側が不適切なWebサイトのカテゴリを設定することで、偽サイトへのアクセスを防ぐ「Webフィルタリング機能」の導入も、QRコード詐欺対策として効果的です。
Webフィルタリングの方法には、ブロックすべきサイトを企業側で設定する「ブラックリスト方式」や、あるいは業務に関連するサイトのみを閲覧可能とする「ホワイトリスト方式」などの種類があります。
QRコード詐欺(クイッシング)対策なら、LANSCOPEソリューションにお任せ
「QRコード詐欺(クイッシング)による被害」の部分でも説明したように、QRコード詐欺(クイッシング)にあうと、知らない間にフィッシングサイトに誘導されたり、マルウェアが自動的にインストールされ、スマホを乗っ取られたりする危険性があります。
こうした被害の一部は、下記のLANSCOPEソリューションで対策解決することが可能です。
- 1. 不正なWebサイトの閲覧を制御できるLANSCOPE エンドポイントマネージャー クラウド版の「Webフィルタリング」機能
- 2. Android スマホなら、AIアンチウイルス「LANSCOPE サイバープロテクション powered by Deep Instinct」
1. 不正なWebサイトの閲覧を制御できるLANSCOPE エンドポイントマネージャー クラウド版の「Webフィルタリング」機能
エムオーテックスが提供しているIT資産管理・MDMツールの「LANSCOPE エンドポイントマネージャー クラウド版(以下エンドポイントマネージャー)」では、管理者側で Web サイトの利用を監視し、指定したカテゴリに含まれるサイトの閲覧を禁止する「Webフィルタリング機能」を利用できます。
ユーザーが設定するカテゴリを含めた全26種・148カテゴリによって、「許可」「書き込み規制」「規制」「一時解除」の4つの内容で、ユーザー操作を制御することが可能です。
これにより、従業員が不正なサイトを閲覧してフィッシング詐欺の被害にあう、というリスクを低減することができます。
※OSによって動作が異なりますので、事前に体験版環境で動作確認をお願いいたします。
2. 社員の「Android スマホ」なら、AIアンチウイルス「LANSCOPE サイバープロテクション powered by Deep Instinct」
詐欺サイトにアクセスしマルウェアに感染するケースもあるため、PC・スマホを問わず社用端末にアンチウイルスを導入することが重要です。
「LANSCOPE サイバープロテクション」では、AIによるディープラーニング機能で、未知のマルウェアを高精度にブロックする、次世代型アンチウイルス「Deep Instinct(ディープインスティンクト)」を提供しています。
Deep Instinctは幅広い端末での利用が可能で、WindowsやmacOSといったPCはもちろん、Androidスマホにも対応しています。手ごろな価格帯で導入できるのも魅力です。ぜひ以下の製品ページよりご覧ください。
まとめ
今回は、QRコード詐欺(クイッシング)とはなにか、具体的な手口や被害事例、対策方法について解説しました。
▼本記事のまとめ
- QRコード詐欺(クイッシング)とは、QRコードを悪用したフィッシング詐欺の一種
- 「QRコードを読み取った際に誘導されるWebサイトのURLを確認できない」「メールフィルタなどテキスト認識をするセキュリティ対策を回避できる」という点から非常に危険性が高い
- 代表的な手口としては「正規のQRコードの上に偽のQRコードを貼る」「QRコードをフィッシングメールに添付する」「偽のダイレクトメールや広告などにQRコードを載せる」「正規のQRコードのリンク先を偽サイトに置き換える」などが挙げられる
- もしもQRコード詐欺(クイッシング)にあってしまった場合、「個人情報やシステムの認証情報の奪取」「端末の不正操作」「マルウェア感染」「不正取引」といった被害が想定される
- 対策としては、「多要素認証の導入」「アンチウイルスの導入」「従業員へのセキュリティ教育の実施」「安全性が確立されたQRコードリーダーの利用」などが有効
QRコード詐欺(クイッシング)による被害は、近年急増しており、その手口は巧妙化しています。被害に遭わないためにも、Webフィルタリング機能やアンチウイルスを活用しながら、セキュリティ対策をおこなっていく必要があるでしょう。
おすすめ記事
