FBI 警告:偽の QR コードを使った金融詐欺が増えている

FBI warns of malicious QR codes used to steal your money

2022/01/23 BleepingComputer — 今週のこと、米連邦捜査局 (Federal Bureau of Investigation : FBI) は、悪意を持って作成された QR コードを利用して、サイバー犯罪者が米国民の認証情報や金融情報を盗み出していると警告を発した。この警告は、FBI の Internet Crime Complaint Center (IC3) で公開された、Public Service Announcement (PSA) として、今週の初めに発表された。FBI は、「サイバー犯罪者たちは、QR コードを改ざんすることで悪意のあるサイトへと被害者を誘導し、ログイン情報や金融情報を盗み出している」と述べている。

FBI によると、サイバー犯罪者は、企業が決済用に使用している正規の QR コード改ざんすることで、被害者の個人情報や財務情報の窃取/悪質なサイトへのリダイレクト/端末へのマルウェアのインストール/自身の管理口座への支払いの振り分けなどを、行っているとのことだ。

正規の QR コードの見えるものをスキャンすると、被害者は攻撃者のフィッシング・サイトへ飛ばされ、そこでログイン情報や財務情報の入力を促される。入力された情報はサイバー犯罪者に送られ、それにより乗っ取った銀行口座から現金が盗まれる。

FBI は、「QR 自体コードは悪意のものではないが、金融情報を入力する際や、QR コードで移動したサイトで支払いを行う際には注意が必要だ。また、送金後に失われた資金の回復を、法執行機関が保証することは不可能だ」と付け加えている。

QR コードの読み取りには注意が必要

FBI は米国民に対して、QR コードをスキャンした後に送られてくる URL に注意すること、QR コードをスキャンした後にデータを入力する際には慎重になること、物理的に偽 QR コードで覆われていないことを、確認するようアドバイスしている。また、QR コード経由でのアプリのインストールや、QR コード・スキャナーを介したインストールも避けるべきだ (その代わりに、スマフォの OS に付属している機能を使用する)。最後になるが、支払いの際には、悪質なサイトへの誘導が設定されているかもしれない QR コードをスキャンするのではなく、必ずマニュアルで URL を入力すべきだ。

2021年11月にも、FBI は QR コード・リスクにフォーカスする PSA を発表している。そこでは、被害者側における金銭的な損失の回復を妨げるために、QR コードや暗号通貨の ATM を使うよう、犯罪者から求められるケースが増えていると警告している。

ドイツの e-バンキング・ユーザーを対象とした、最近のフィッシング・キャンペーンで明らかになったように、脅威アクターたちは、スパム・メールのボタンの代わりに QR コードを使用することで、セキュリティ・ソフトウェアによる検知を困難にし、被害者をフィッシング・サイトに誘導することに成功している。フィッシング・ランディング・ページに誘導された被害者は、銀行の所在地/コード/ユーザー名/暗証番号などの入力を求められたという。

QR コードは提供する側にとっても、利用する側にとっても、便利な機能です。ただし、提供する側が、信頼できない場合や、偽物である場合などは、大きなダメージを受ける可能性があます。QR コードの容量ですが、ちょっと気になって調べてみたら、モデル2のバージョン 40 だと、数字 7,089字/英数字 4,296字/バイナリ 2,953 バイトとのことでした。2021年10月には、「QR コード・メール・フィッシング:Microsoft の認証情報を盗み出そうとする手口とは?」という記事もありました。とにかく、利用には注意が必要ですね。

%d bloggers like this: