【情報セキュリティ回#8】QRコードを利用した不審サイトへの誘導が広がり始めた

やすかわはら

2023年12月3日 13:19

「大学案内に記載されたQRコードを使用せず、正しいURLを直接入力してください」

上記は2023年に本当にあった話です。QRコードで読み取ったサイトにアクセスすると、不審サイトに誘導されることが確認されました。

QRコードに不審サイトのURLが登録されていたのではなく、不審サイトのURLに"転送された"可能性が高いようです（詳細は非公開のため断定は避けています）

上記だけでなく、スーパーマーケットの一部店舗のQRコードを読み取った結果、あるタイミングで不審サイトが表示されるようになり、クレジットカードの情報が詐取された被害も確認されています。

ＱＲコード利用で予期せず不審サイトにつながってしまう危険性が身近に迫っています。

なぜ、そんなことができてしまうのでしょう？
何に留意すれば、リスクを回避できるのでしょうか？

１．なぜ正規のQRコードで不審サイトにつながってしまうのか

調査中な部分はあるようですが、以下の２点の可能性があります。

１）広告サイトの悪用

　ホームページ見ているとき、スマホのサイトでゲーム中などに全画面で広告が表示されませんか？
パソコンでもスマホなどの手段を問わず表示されると思います。

その広告に表示されるサイトを、悪意を持った作成者が広告として掲載した場合が１点目です。

利用者は、それが広告ときづけなければ画面操作してしまい、個人情報を入力してしまう可能性があります。

サイト自体ではなくても、悪意のあるサイトに強制的にジャンプさせてしまうことも可能です。

２）短縮URL利用における悪用または設定誤り

短縮URL、はご存じでしょうか。本来のホームページサイトのURL（http://とか、https:// とかで始まるアレです）を直接入力するとすごく長いので、短く変換してくれるサービスです。

この短縮URLを用いて、QRコードを作成するケースも目にするようになりました。

QRコードを用いた場合の流れは、概ね以下です。

①ホームページサイトを某サービスを使ってA→Bに変換。BのURL作成
②情報提供者が、BのURLを対象としたQRコード：Cを作成し、公開
③参照者がQRコード：Cを読み取り
④Cを読み取ったアプリが、QRコード：C→短縮URL：Bに変換
⑤短縮URL：Bで検索
⑥某サービスが、B→Aに変換してAにジャンプするよう処理
⑦参照者は、Aのサイトを参照できる。

短縮URLは、一般的に短くすることが狙いです。
一定の法則で文字を並べているだけです。
その文字列だけ見てもどのサイトにアクセスするのか？は分からないケースが大半です。

今回は、上記①のところで、

・Aが不審なサイトだったか
・Aの登録を誤って結果的に不審サイトになったか
・Bに短縮したつもりが、何らかの理由で不審サイト：Zに書き換えられたか

あるいは、上記④のところで、

・変換する短縮URL：Bが何らかの理由で不審サイト：Zに書き換えられたか

でしょう。

２．被害に遭わないためにできる予防策

上記のようなことが想定される場合、私たちにできることは何でしょう。以下３点を提案します。

１）QRコード読取時のリスクを知る

まずは知っていただきたいです。
知らないと無意識に大丈夫と思って人は操作します。

「そういえば、QRコードから不審なサイトに飛ばされたケースあったな」と気づくことで、今目の前の画面はもしかしたら、と疑うことができます。

２）入力している情報を疑う

入力フォームに「必須」と記載あったら疑い持たずに入力しがちです。

その情報はほんとうに今、入力必要なのか？

と疑っていましょう。ショッピングサイトで既に何回も購入しているにもかからず、クレジットカード情報を改めて求めてくる。

違和感を感じますでしょうか。
何度もクレジットカードを入力してもらう行為は、誤った入力の可能性があり、そのリカバリにも大変な労力を使います。

本来であれば事業者も避けたいのです。

３）なんかマズいサイトかも、と感じたらすぐ閉じる

１００パーセントリスクが回避できるわけではないですが、怪しいと感じるサイトを長時間開くと、その時間帯でネットワーク上の情報などを抜き取られる可能性が増えます。

怪しいと思ったらすぐ閉じましょう。
怪しい、と直感で感じるサイトは、一旦閉じていいです。

あなたの直感は、いつもと違うシグナルを本能的に出してます。
すごく主観ですが、リスクに対する違和感は８割当たってます

正しければもう一度開けばいいので、怪しかったらそれ以上操作しないよう一旦離れましょう。

３．まとめ

今回挙げた例は、昔からあるフィッシング詐欺に、QRコードが関係しているだけの感もあり、手口としては昔からあります。

その使う手段がQRコードになっただけです。

つまり、過去にあった情報セキュリティのトラブルは、手を変え品を変え繰り返されます。

１つのケースを理解すれば応用は効きますので、１つずつ頭の片隅に増やしていただけると、「怪しい…」に気づくケースは増えます。

その結果、被害に遭うリスクは減っていくでしょう。

以上です