QR Phishing が増加している:身を守るため知っておくべきことは?

The Rise of QR Phishing: How Scammers Exploit QR Codes and How to Stay Safe

2025/03/02 HackRead — QR コードは日常的に便利なものとなり、スキャンするだけで Web サイト/決済プラットフォーム/デジタル・メニューへの素早いアクセスを実現している。しかし、QR コードの人気が高まるにつれ、その悪用の試行へと向けて、サイバー犯罪者の関心も高まっている。”QR Phishing” および “Quishing” と呼ばれる、それほど新しくはないが、あまり知られていないフィッシング攻撃が増加している。この QR フィッシングによりユーザーが騙され、悪意のコードのスキャンへと至り、個人情報の窃取/マルウェアのインストール/詐欺サイトへのリダイレクトなどが引き起こされる。

QR フィッシングの仕組み

サイバー犯罪者たちは、QR コードを操作する詐欺のために、さまざまな方法を見つけ出している。最も一般的な方法の1つは、正規の QR コードの上に、偽の QR コードを貼り付ける手口だ。それが発生する可能性があるのは、レストラン/パーキング・メーターなどの、企業サービスに QR コードが多用される公共的な場所となる。それらの、正規のように見える、偽の QR コードをスキャンするユーザーは、詐欺のための悪意の Web サイトへと誘導され、ログイン認証情報/財務情報などの機密データを盗まれることになる。

A real-time example of a malicious QR code on a parking meter in Kirklees, West Yorkshire, England. (Via  Kirklees Council)

別の手口としては、銀行/流通/技術サポートなどの、信頼できるソースを装う偽の QR コードを、メールやテキスト・メッセージで送信する方法がある。多くのケースにおいて、これらの偽メッセージは緊急感を醸し出し、ユーザー・アカウントの侵害や、支払いの確認の必要性などを受信者に伝える。それらをスキャンするユーザーは、ハッカーに対して知らないうちに個人情報を渡すことになる。

QR コード生成ツールの Online QR Code によると、さまざまな種類の QR コードがあるが、ほぼ全ての種類のコードに、詐欺師に悪用される可能性がある。つまり、ポスター/メール/公式文書などに、QR コードが提示されていても、そのソースが検証されていない場合には、大きなリスクが存在することになる。

QR フィッシングが効果的な理由

QR フィッシングが効果的な理由は、その QR コード自体が、どこにつながっているのかが、すぐには分からないところにある。ユーザーがマウスを移動して、URL をプレビューできる従来のリンクとは異なり、QR コードをスキャンすると、多くのケースにおいて、ユーザーには警告もされずに、目的のサイトへとダイレクトに移動していく。大半の QR スキャンはモバイル・デバイスに集中しているため、ユーザーを欺く詐欺師は、誰にも気付かれずに、容易に悪意を実行できてしまう。

さらに、正当な企業や組織においても、QR コードは広く使用されているため、多くの人が信頼している。この信頼を悪用する詐欺師は、悪意を見透かされない場所に、偽の QR コードを配置する。QR フィッシングに関する警告を、FBI が発せざるを得なかった理由は、そこにある。

QR フィッシングから身を守る方法

QR フィッシングの脅威は増大しているが、その一方では、安全を保つために実行できる簡単な手順もある。

  1. スキャンする前の確認:公共の場所で QR コードを見つけた場合は、改ざんの兆候を確認してほしい。別のコードの上にステッカーが貼られているように見える場合には、スキャンしないでほしい。
  2. URL のプレビュー:一部のスマートフォン・カメラや QR スキャナー・アプリでは、リンクを開く前のプレビューが可能である。URL が疑わしい場合や、想定される宛先と一致しない場合には、先に進まないでほしい。
  3. メールやテキストに添付される QR コードのスキャンは避ける:特に注意してほしいのは、予期しないメッセージや、緊急性を醸し出すメッセージに添付される QR コードである。スキャンする代わりに、ブラウザから URL を入力して、組織の公式 Web サイトにアクセスすべきである。
  4. セキュリティ機能付きの QR コード・スキャナーの使用:一部のセキュリティ・アプリや QR スキャナーには、悪意のリンクを検出することで、ユーザーに対して警告する、保護機能が組み込まれている。
  5. HTTPS と公式ドメインの確認:QR コードをスキャンする場合には、個人情報を入力する前に URL を確認してほしい。正当な Web サイトのアドレスであれば、”https” が使われるはずであり、また、そのドメインは企業の公式 Web サイトと一致しているはずだ。
  6. 迷惑な QR コードを疑う:賞品/割引/緊急などに加えて、セキュリティ警告を提供すると主張する QR コードを受け取った場合には、疑うようにしてほしい。詐欺師は、被害者をスキャンに誘い込むために、こうした戦術を多用する。
  7. 携帯電話のセキュリティを最新状態に保つ:携帯電話の OS とセキュリティ・ソフトが、最新の状態であることを確認してほしい。それにより、悪意のあるサイトからのマルウェア感染を抑制できる。

QR コードは、すぐに消えていくものではないだろう。マーケティングや支払いなどに加えて、日常のインタラクションに欠かせないツールとなっている。しかし、電子メール・フィッシングなどのサイバー脅威と同様に、安全性を保つには意識が重要となる。QR コードをスキャンする前に、そのソースを確認するために、数秒ほど時間をかけることで、ますます巧妙化する、それらの詐欺から身を守れるはずだ。

QR フィッシングについて、本文中では「それほど新しくはないが、あまり知られていないフィッシング攻撃」と表現されていますが、2024/04/18 に投稿した「QR コードを悪用するフィッシング:2021/2024 比較で 10倍以上に増加」にある通り、増加傾向にあるようです。その攻撃手法は単純なものですが、専門知識が無くても手軽に使えてしまうツールほど、攻撃者の格好の標的になるのだと、改めて実感します。よろしければ、QR Code + Phishing で検索も、ご利用ください。