QRコードから考えるサイバー犯罪

昨今、日常でよく見かけるQRコードですが、仕組みを知らずにスマホなどで読み込んでいる人も多いと思います。QRコードを読み取ることで、電子決済やWebサイトの表示など容易に行うことができます。QRコードは、人間の目ではどのようなデータが格納されているのか理解するのが非常に困難です。この特徴が、サイバー犯罪に悪用され始めています。本コラムでは、QRコードの仕組みを説明し、QRコードを悪用したサイバー犯罪の手口と対策について整理します。

1． QRコードについて

このような正方形のバーコードを見たことがありますでしょうか。こちらのバーコードは、本コラムで整理するQRコードです。（読み取ると株式会社DirbatoのHPに遷移します）
QRコードとは、Quick Responseの略語であり、1994年にデンソーウェーブによって高速読み取りを目的として開発された2次元バーコードのことです。従来のバーコードよりも格納できるデータ量と表現できるデータの種類が増加していることが特徴となっています。データ量と表現できるデータの種類が増えたことによりQRコード決済、URLのリンク、航空券など様々な場面で活用されています。普段、何気なくスマホで読み取っているQRコードを悪用したサイバー犯罪の手口を整理します。

2． QRコードを悪用したサイバー犯罪の手口

前述の通りQRコードは、どのようなデータが格納されているのか人間の目で把握することが非常に困難なバーコードとなっています。ひと目で正常なQRコードであるか判断できないため、サイバー犯罪の手口として悪用されることがあります。今回は、偽装したQRコードを悪用した手口を3つ紹介します。

(1) QRコード決済
今日、コンビニエンスストアやドラッグストア等に足を運ぶと店頭やレジ前でQRコード決済の表示をよく見かけます。QRコード決済は「ユーザースキャン方式」と「ストアスキャン方式」の2つの方式があります。2つの方式を説明し、それぞれのサイバー犯罪の手口を紹介します。

■ユーザースキャン方式
ユーザースキャン方式とは、利用者の決済アプリで、店舗側が提示しているQRコードを読み取る決済方式です。この方式では、本物のQRコードの上に偽装したQRコードを貼り付け、偽装したQRコードをユーザーに読み取らせる手口が考えられます。犯罪者に不正送金するQRコードにすり替えられ、QRコードを読み取ったユーザーは、店舗ではなく犯罪者に送金してしまう危険性があります。

■ストアスキャン方式
ストアスキャン方式とは、ユーザーがQRコードを提示し、店舗側がQRコードを読み取る決済方式です。この方式では、ユーザーがQRコードを表示したままレジに並んでいる際に、悪意ある人間に読み取られてしまう手口が考えられます。スマホの決済アプリが表示するQRコードは、アプリの仕様で数分間のみ有効であることが多いです。しかし、その数分間で悪意ある人間によって不正利用される危険性があります。

(2) フィッシングサイトへの誘導
フィッシング詐欺とは、正規のWebサイトに偽装したフィッシングサイトに誘導し、利用者のIDやパスワード、クレジットカードの情報などを詐取することです。現在、サイバー犯罪の中でも最も知られている手口の1つであるフィッシング詐欺ですが、SMSやメール等のメッセージに偽物のURLを記載しておきフィッシングサイトに誘導することが非常に多いです。誘導の手口であるSMSやメールの代わりに偽装したQRコードを悪用することでフィッシング詐欺の被害に遭ってしまう危険性があります。

(3) 悪意あるアプリのダウンロードサイトへの誘導
アプリのダウンロードを促すためにWebサイトやポスターなどにQRコードを載せていることがあります。QRコードを読み込むことで、アプリのダウンロードサイトに遷移することができます。遷移後、疑いなくアプリをダウンロードするユーザーが多いと思います。偽装したQRコードをユーザーに読み取らせ、悪意あるアプリをダウンロードさせる手口が考えられます。このアプリをダウンロードすると、ダウンロードしたスマホから個人情報の流出、決済処理、盗撮、盗聴などが行われる危険性があります。

3． 対策

悪意あるQRコードの被害に遭わない為にどのような対策をしたらよいのか企業や組織とユーザーの視点から整理します。

■企業・組織
(1)ストアスキャン方式の導入の検討
ユーザースキャン方式を導入している場合の対策です。ユーザースキャン方式では、偽装したQRコードをユーザーが読み取ってしまう危険性があります。そのため、セキュリティの観点からストアスキャン方式のほうが安全であると筆者は考えています。しかし、ユーザースキャン方式に比べ、ストアスキャン方式は導入コストがかかってしまいます。コスト面からユーザースキャン方式を導入する際は、後述する「悪意あるQRコードのすり替え防止」を最低限実施していただきたいと思います。

(2)悪意あるQRコードのすり替え防止
ユーザースキャン方式を導入する場合は、①ユーザーがQRコードを読み取るときのみQRコードを提示することや②常に人がいるレジ前などにQRコードを設置することなどの対策により、悪意ある人間にQRコードのすり替えを実施させないことが必要となります。また、ユーザーが読み取った後、決済アプリ上で決済履歴をユーザー、店舗側双方で確認することも大切です。

(3)QRコードの出所の明確化
企業・組織がポスターやWebサイトでQRコードを活用する場合の対策です。ユーザーは、出所が分からないQRコードは読み込むべきではありません。そのため、QRコードを活用する場合、出所が確実に伝わるようなデザインを考えるべきです。また、検索エンジンから検索することができるキーワードやURLを載せることも重要です。

■ユーザー
(1)出所の怪しいQRコードは読み取らない
QRコードに関するトラブルを起こさないための一番の対策は、出所が怪しいQRコードを読み込まないことです。QRコードのリンク先のWebサイトにアクセスする必要があるのであれば、検索エンジンから検索することが望ましいです。しかし、どうしても読み込む必要があるのであれば、QRコードに格納されているURLを確認することが非常に大切です。

(2)QRコードを読み取った後にURLを確認する
QRコードを読み取る必要がある場合は、読み取ったURLを確認した上で、Webサイトを開くことが大切です。QRコードリーダーで読み取った際にURLが表示されないアプリは使用しないことが望ましく、一度読み取ったことがあるQRコードでも毎回URLを確認することが大切です。頻繁に読み取るQRコードの場合、リンク先のWebページをブックマークしておき不必要にQRコードを読み込まないようにすることも重要な対策です。

(3)不用意に自分のQRコードを表示しない
QRコードは、決済情報やSNSの友達追加、チケットなど価値のある情報が含まれていることが多いです。このような自分のQRコードを不用意にSNSにアップロードすると、悪用される危険性もあります。そのため、SNSにはQRコードを載せないようにすることが非常に大切です。

(4)アプリは公式サイトからダウンロードする
使用している端末OSの公式アプリのダウンロードサイト（iOSであれば、App Store、Android OSであれば、Google Play）からダウンロードすることが対策です。QRコードから対象アプリのダウンロード画面まで遷移することは、非常に便利です。しかし、非正規のダウンロードサイトに誘導されてしまう危険性もあります。そのため、公式サイトから検索を行い、ダウンロードすることが望ましいです。

これらの対策を十二分に行っても、被害に遭う可能性はゼロではありません。特にQRコード決済が普及することで高度な手口で金銭を騙し取られる危険性が高まります。不正利用による被害に遭った場合は、QRコード決済会社から補償を受け取れる可能性があります。普段利用しているQRコード決済会社によって補償条件や金額が異なるため、事前に利用しているQRコード決済アプリの利用規約を再度確認することをお勧めします。

4． まとめ

世の中の情報技術は、日々進歩し続けています。技術の発展によって、私たちの生活はより便利になっています。しかし、攻撃者も新たな攻撃手段を手に入れることにつながり、技術の発展による生活の利便性とサイバー攻撃は切っても切り離せない関係となっています。また、技術を熟知した攻撃者が様々な手法を駆使し、サイバー攻撃を行います。そのため、世の中に出てきた技術の仕組みの概略を理解するだけでも、防ぐことができるサイバー攻撃や犯罪が多々あります。便利な技術を闇雲に利用するのではなく、仕組みを知ったうえで利用することが重要です。

※弊社では、セキュリティ全般に関わる導入、推進に向けた各種コンサルティングサービスを提供しております。随時ご相談ください。

執筆者　石橋　和也 （いしばし かずや）
株式会社Dirbato（ディルバート）
コンサルティンググループ　コンサルタント
大学卒業後、SIerに入社。その後、2021年8月にDirbatoに転職し、コンサルタントとして活動を開始。
AIに関するG検定及びE資格を所有。
趣味は写真撮影。