確実なデータ消去ならピーシーキッド

フリーダイヤル東京/0120-56-2982 大阪/0120-25-2982
CONTACTお問い合わせ

最新情報NEWS

HOMEブログクイッシングとは?そのQRコードは安全ですか?

クイッシングとは?そのQRコードは安全ですか?

QRコード決済で買い物をする女性のイメージ画像

クイッシング( Quishing )とは、QRコードを悪用したフィッシング詐欺のことです。 攻撃者が偽のQRコードを用意し、利用者がその偽QRコードを読み取ることで、個人情報や金融情報を窃取したり、フィッシングサイトに誘導したりする手口です。 QRコードは見た目だけではリンク先のURLがわからないため、よくあるメールやSMSを利用したフィッシングよりも危険性が高いと言われています。

QRコードは見た目だけでは、安全かどうかわかりません。

QRコード決済は、大変便利な決済方法で、幅広い店舗や飲食店、オンライン店舗で決済が可能です。 専用のコードを読み取るか、自分のQRコードを提示するだけで決済が完了します。

QRコードの利便性は、〇〇PAYの利用などの簡便な決済だけではありません。 名刺交換を頻繁にする方はお気づきでしょうが、近年QRコードが印刷された名刺を見かけることが多いのではないでしょうか。名刺に印刷されたQRコードを読み取るだけで、その方の電話番号やメールアドレス、SNSのアカウント、HPのURLなどを知ることができます。 それ以外にも以下のようなシーンでQRコードを見かけることが増えてきました。

  • 位置情報の取得
    飲食店や物販の店舗などのチラシやポケットティッシュに入れてある販促物などにあるQRコードを読み取ると、その店舗の位置情報がマップとして表示され、そのマップでどこにその店舗があるかを知ることができます。この位置情報は共有が可能で、家族や友人などに位置情報を正確に伝えることができます。
  • Wi-Fiへの接続
    イベント会場やカフェなどで提供しているWi-Fiを利用する際には通常 SSIDとパスワードを入力します。複雑なパスワードが設定されていたりすると入力ミスによってWi-Fiが利用できない場合があり、 急いでいるときはストレスを感じるものです。 Wi-Fiへの接続をQRコード読み取り設定にしておけば、SSIDとパスワードを入力する手間がないというユーザの利便性もありますが、 他者にWi-FiのSSIDやパスワードを直接伝える必要がなくなるというWi-Fiを提供する側のセキュリティ面での安全性というメリットもあります。
  • 商品のトレーサビリティ
    以前より健康について一層注意を払うようになった現代人にとって、食品がどのような原材料から作られているか、 原材料の産地はどこか、添加物にはどのようなものがあり、その添加物がどの程度の割合で入っているかなどが気になり、 特に加工食品については、パッケージを裏返して品質表示を確認することが多いのではないでしょうか。
    商品のトレーサビリティとは、商品ができあがるまでの原材料の調達や生産者情報などを購入者が情報として得られる仕組みです。 購入者が商品や販促物に記載してあるQRコードを読み取ることで、商品のトレーサビリティにアクセスでき、安心して商品を購入できるメリットとともに、 商品の透明性や信頼性を提示できる生産側にもメリットがあり、万が一不良品などの不具合が生じた場合にもQRコードのトレーサビリティを活用することで 迅速な対応が可能になります。また、偽造品流通の抑止にもつながります。
  • デジタルチケット
    イベントやコンサートの入場のデジタルチケットをQRコードにして利用者に提供するメリットはいくつかあります。 紙のチケットの場合紛失するリスクがありますが、QRコードを使ったデジタルチケットであれば、スマホの画面を見せるだけなので、 入場手続きがスムーズで、入場時間が短縮できる、入場手続きにあたる人員も少なくて済むことがあげられます。 また、コストの面でもチケットの印刷や紙代、送料など主催者側が在庫管理や発送に費やす時間やコストも削減できます。 QRコードは一意に生成され、コピーが困難です。チケット情報はデータベースで管理され、重複利用や転売も難しくなります。
  • 会員登録やログイン認証
    会員登録やログイン認証は、何をさておいてもセキュリティ面での安全性・信頼性が求められます。 アプリケーションにパスワードを忘れてしまったために入れない経験がある方は多いと思います。 QRコード認証であれば、パスワードの入力は必要ありません。スマホで読み取ればよいだけなので、ユーザ側は簡便に認証を行うことができます。 QRコード認証はデータが暗号化されていてパスワードや個人情報が漏洩しにくくなっています。 ユーザがパスワードを入力しないため、「キーロガー」 によってパスワードを盗み取られることがありません。
    ※キーロガー : ユーザがPCのキーボードでタイピングしたキーストロークやスマホのタッチ操作などを記録する役割を持ったソフトウェアやハードウェアですが、 入力した情報を盗み出すなど不正な役割を果たすマルウェアとして使われるケースがあります。

クイッシングの手口

クイッシング ( QRコードを悪用したフィッシング詐欺 ) によってじわじわと被害の報告が増えてきています。 QRコード決済などを普段便利に使っていることで持っている『QRコードに対する揺るぎない信頼感』を悪用するのが攻撃者の手法です。 現在報告されているのは主にダミーサイトへの誘導、QR決済画面への偽コードの重ね張りなどが有名です。 まず、どのような手口があるかを予め知っておけば、不用意にすぐに決済画面を読み取ろうとは思わないでしょう。

現在報告されているクイッシングの被害事例には以下のようなものがあります。

  • フィッシングサイトへの誘導
    近年QRコードを利用したクィッシング詐欺メールが急増していて、「キャンペーンの応募ほこちら」「会員登録はこちらから」などど偽サイトに誘導し、個人情報やクレジットカード情報などを入力させ、個人情報、金融情報を窃取するケースが増えています。銀行や有名企業のサイトを巧妙に模倣していて偽サイトであることに気が付かない場合もあるようです。
  • マルウェアに感染させる
    QRコードを読み取って遷移したページが偽のサイトになっていて、「ここからダウンロード」というボタンをクリックしたり、リンクをクリックすると、有害なプログラムがダウンロードされる仕組みになっていて、マルウェアに感染。パソコンが遠隔操作されたり、個人情報や通信記録が漏洩するケースがあります。
  • 正規のQRコードの上に偽のQRコードを重ねて張る
    QRコード決済が可能な店舗のQRコードにダミーのQRコードが貼り付けられているのに気が付かないで、スマホを使って〇〇PAYなどでの支払いが繰り返されていると、店舗側では精算の段階まで気が付かず、生産前にダミーのQRコードを攻撃者が回収した場合、売り上げ金額の差異の原因がわからずじまいになる可能性があります。

QRコードを読み込む前に

少ない情報しか格納できなかったバーコードに比べると、多くの情報を格納できるQRコードは、その利便性の高さやセキュリティの面でのメリットにより、私たちの生活に広範囲に根付いています。しかし、その利便性を逆手にとったQRコード犯罪も急速に増加していることも事実です。

従来のメールやSMSのリンクから偽サイトに誘導するフィッシングの場合、よく見れば正規のURLとは違うことを発見できる場合もあるのですが、QRコードを読み取ってアプリケーションやWEBサイトにアクセスする場合、実際にQRコードを読み取る必要があるため、URLが正しいものであるかどうかの確認ができません。

QRコードの普及と共にクイッシングの手段も巧妙なものになっていくでしょう。 QRコードの読み取りアプリをダウンロードするときも、App StoreやGoogle Playストアなど公式のアプリストアからダウンロードすることと、レビューや評価を確認してからダウンロードすることが大切です。チラシや名刺などの印刷物のQRコードは、信頼できる提供元のものや、直接手渡されたもの以外はむやみに読み取らないようにしましょう。

スマホでカフェの支払いをする場面のイメージ画像
※QRコードは㈱デンソーウェーブの登録商標です。
https://www.denso-wave.com/
PAGE TOP