QRコード決済の習慣化、攻撃者の狙いがそこに
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」1月28日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・QRコード読取の便利さが招く意外な攻撃手法
・なぜ「日本はアメリカから10年遅れている」と言われるのか
今回の解説ニュース
海外の駐車場で不正なQRコードが発見されたということです。QRコードを読み取る際の注意点や、海外のセキュリティトレンドが日本国内に及ぼす影響について説明します。
今回のインシデントは、駐車場の料金所で不正なQRコードが発見されたということです。QRコードでアクセスしたサイトでお金を払ったり、情報を入力したりすべきではないということについて、注意喚起がなされています。さらに、QRコードは、レストランのメニューのように、読むだけのサイトのナビゲーションとして扱われるべきで、アプリをダウンロードしてはならないと、海外のセキュリティベンダーが注意を促しています。
まとめると、QRコードがフィッシングサイトやマルウェアの感染に悪用されていることが考えられます。日本国内でも同様のインシデントが発生する可能性がありますので、スマートフォンの利用などにおいて注意が必要です。
QRコード読取の便利さが招く意外な攻撃手法
QRコードを読み取る際は、屋外など誰が作成したかわからないQRコードを読み込まないように注意することが必要です。記事の中で書かれている対策も交えて説明します。
改めて、QRコードとは、Quick Responseの頭文字を取ったコードで、日本企業が開発したオープンソースの技術です。誰でも利用できることから、URLなど簡単な情報の取り込みから、スマホなどで読み取って行う決済まで、様々な用途で利用されています。皆さんも何らかの形で触れた機会があるのではないでしょうか。生活の一部として浸透しているということは、裏を返せばQRコードをスキャンすることはすべての人にとって自然な習慣になっています。そして、この点が攻撃者に狙われていることになります。
どういうことかというと、例えば、Aさんが飲み物を買おうとした際に自動販売機の横に「今なら10%OFF」と説明付きのQRコードが貼られていたら、なんか、スキャンしたくなりませんか?つまり、攻撃者の狙いはそこにあります。具体的には、10%OFFのクーポンをゲットするためにはアンケートにお答えくださいという流れで、個人情報や場合によってはクレジットカード番号などの入力を求めてくるかもしれません。うっかり入力してしまえば、攻撃者に悪用されてしまう可能性があります。
対策として、今回の記事には「携帯電話が最新の状態であることを確認する」「QRコードで支払いをしない」「QRコードからアプリをダウンロードしない」「QRコードからアクセスしたサイトに情報を入力しない」が挙げられていますが、最も有効な対策の一つは、誰が作成したかわからないQRコードをスキャンしないことも考えられます。
その他のトピック
なぜ「日本はアメリカから10年遅れている」と言われるのか
(全文はこちら)