JSSEC技術部会 スマートフォン・サイバー攻撃対策ガイド
第13回「広がるQRコード詐欺(クイッシング)と対策」
JSSEC技術部会マルウェア対策WG
KDDI株式会社 本間 輝彰
1. はじめに
QRコード(Quick Responseコード)は、1994年に日本のデンソーウェーブ社によって開発された2次元バーコードの一種です。QRコードは、縦横に情報を持つことで、従来のバーコードよりも多くの情報を簡単に格納できるようになっています。
QRコードは、約4,000文字の情報を格納でき、イベントチケットやデジタル決済、名刺など様々な用途で利用されています。スマートフォンのカメラでQRコードをスキャンしてウェブサイトにアクセスするなど、その利便性により、多種多様なサービスでの利用が広がっています。
一方、その利便性を悪用し、QRコード詐欺(クイッシング)として様々な方法で利用され、その被害も増加の一途をたどっています。
JSSEC 利用部会では、「そのQRコード大丈夫?フードコートで増えるQRコード詐欺(クイッシング)に注意! ~ スマートフォン利用シーンに潜む脅威 Top10 2023 番外編 ~」として、フードコートでのQRコードを使った詐欺を事例に注意喚起も行っています。
また、独立行政法人国民センターでは、「○○ペイで返金します」と言われた詐欺に関する相談件数を、以下『「図1 ○○ペイで返金します」と言われた詐欺に関する相談件数』の通り公開し、増加する詐欺に関する注意喚起も行っています。
図1 「○○ペイで返金します」と言われた詐欺に関する相談件数
これらの状況を踏まえ、QRコードを使った詐欺事例を紹介し、利用者がQRコードを利用する際の注意点やサービス提供側に推奨されるQRコードの利用方法を紹介します。
なお、下記事例はほんの一例であり、その他にも様々な詐欺が想定されます。したがって、QRコードを使ったサービス等を利用する際には、利用者に求められる対策に記載の内容を十分理解して利用することが推奨されます。
2. QRコードを使った詐欺事例
QRコードを使った詐欺では、正規なQRコードの上に、偽のQRコードを貼って偽サイトなどに誘導する、サービスを詐称して偽のQRコードを利用させる、利用者を騙して不正にQR決済や送金させるなど様々な詐欺が考えられ、下記にその攻撃事例の一部を紹介します。
2.1. 偽の支払いリンク
前述の「そのQRコード大丈夫?フードコートで増えるQRコード詐欺(クイッシング)に注意! ~ スマートフォン利用シーンに潜む脅威 Top10 2023 番外編 ~」でも紹介していますが、フードコードなどの注文用のQRコードとして偽のQRコードを貼り付けて利用者にそのコードをスキャンして注文させ、決済に利用したクレジットカード情報などを詐取する方法となります。
2.2. 返金詐欺
前述の「○○ペイで返金します」と言われた詐欺の事例で、購入者を装った詐欺師が、偽の返金手続きを通じて被害者から資金を騙し取る手口です。まず、詐欺師は購入者に「返金が必要」と偽って連絡を取り、QRコードを利用した返金手続きを求めます。被害者は指示されたQRコードをスキャンし、特定のコードや情報を入力するように促されます。しかし、実際にはこれにより被害者自身の口座から詐欺師に資金が送金するようになっており、金銭を詐取されることとなります。
2.3. 偽の社会貢献活動
QRコード決済を使うと、個人間でも簡単にお金を送ることができます。この便利さを悪用して、チャリティーや募金を装う詐欺が行われることがあります。この詐欺では、「このQRコードをスキャンして寄付をお願いします」といった形で寄付を呼びかけますが、実際にはそのお金は詐欺師の口座に送られてしまいます。さらに、寄付したと思い込んでいるため、詐欺にあったことに気づかないこともあります。
2.4. 偽のキャンペーンや懸賞
「このQRコードをスキャンすると景品がもらえます」といった偽のキャンペーンを利用して、あなたの個人情報を手に入れようとします。QRコードをスキャンすると、名前や住所、電話番号などの個人情報を入力するよう求められますが、実際には景品は存在せず、あなたの情報が詐欺師の手に渡ってしまいます。
2.5. 偽警告などによるマルウェアのダウンロード
偽のQRコードをスキャンさせ、ウェブサイトにアクセスすると、「マルウェアに感染しています」などの偽警告を表示する詐欺手法があります。これにより、偽のセキュリティソフトとしてマルウェアをインストールするよう誘導などされます。このマルウェアに感染すると、スマートフォン内の個人情報が詐取されるほか、スミッシングSMSの送信に悪用されることがあります。
なお、偽警告については、JSSEC 技術部会が発行している「第6回 スマートフォン・サイバー攻撃対策ガイド 偽警告・偽契約詐欺対策」でも紹介しています。
2.6. 偽アプリのインストール
QRコードを利用して、利用者を特定のサービスのアプリマーケットのインストールページに誘導や、サービスのウェブページに誘導してそこからアプリをインストールさせる手法が一般的に用いられています。しかし、このような正規の利用方法が悪用されるケースもあります。詐欺師は、サービスを装って偽のQRコードを提供し、ユーザーにそれをスキャンさせます。そして、該当サービスになりすました偽のアプリ(マルウェア)をインストールさせ、さらに偽アプリを介して個人情報やクレジットカード情報を入力させ、その情報を不正に取得します。
2.7. 偽のサポート連絡先
偽のサポート連絡先をQRコードとして提供し、利用者にそれをスキャンさせます。QRコードをスキャンすると、偽のカスタマーサポートの電話番号が表示され、利用者はそれを正規の連絡先だと思い込んで電話をかけます。この過程で、詐欺師は利用者を騙して個人情報を聞き出し、不正に取得します。利用者は、自分が正規のサポートに連絡したと思い込んでいるため、詐欺に遭っていることに気づかないことが多いです。
なお、偽の電話番号に連絡させる方法は、リバースビッシング詐欺とも呼ばれ、スミッシング・フィッシング詐欺でも利用されることがあり、JSSEC 利用部会が「スマートフォン利用シーンに潜む脅威Top10 解説ガイド(No.1:フィッシング)」のなかで手口について紹介をしています。
2.8. Wi-Fiネットワーク詐欺
フリーWi-FiなどでWi-Fi接続する際に、QRコードをスキャンし接続させる方法があります。詐欺師は、これらの仕組みを悪用し、悪意のあるWi-Fiに接続させ、通信内容の盗聴や不正なDNS設定をすることで、偽サイトに誘導し個人情報などを詐取することがあります。
2.9. イベントチケットの偽造
オンラインで販売されるイベントやコンサートのチケットをQRコードで提供する場合があります。これらチケットの偽造を行って提供する方法がいくつかあります。
例えば、詐欺師が転売サイトや掲示板で、偽造チケットを本物のように販売する方法があります。購入者はQRコードが本物であるか識別が困難なため、イベント当日に偽物であるということに気づくことが多々あります。
また、詐称したチケット販売サイトを作成し、そこからチケットを購入させる手法です。こちらのケースでは利用者は正規の販売サイトと思って購入しており、前述と同様にイベント当日に騙されていることに気づくこととなります。
3. 利用者に求められる対策
詐称されたQRコードを見分けるのは、非常に困難であり、安易な判別を行うことは推奨されません。したがって、どのようなQRコードの利用方法が安全なのかを理解の上、利用することが求められます。
3.1. 安全であるQRコードの例
下記に示す利用方法は、QRコードの身元が確認されており、安全な利用法と考えられます。
3.1.1. アプリからQRコードを読み込む
サービス提供元のアプリからQRコードを読み込んで利用する場合、詐称したQRコードを読み込んでも認識しないと推測されます。
なお、アプリからサービスを利用するのは、フィッシング対策としても効果が非常に高いため、アプリ提供しているサービスの場合、そのアプリを利用することが推奨されます。
3.1.2. HPに掲載されているQRコードをWebブラウザからアクセスする
スマホのWebブラウザでは、HPに表示したQRコードを選択すると、QRコードのリンクのURLが表示され、そのリンク先にアクセスすることが可能です。
アクセス先が安全なHPで表示されたQRコードであれば、そのQRコードのリンク先にアクセスしても安全と考えられます。
ただし、アクセス先のHPの安全性が確認出来ない場合は、そのQRコードのリンク先の安全性も疑われますので、この利用方法は、ブックマーしてあるURLや検索エンジンで検索したサービスのリンク先などの場合などの利用に留めたほうが良いです。
3.1.3. サービス提供元から受領したQRコードを利用する
サービス提供元から手渡し等で受領したQRコードの場合、詐称したQRコードと入れ替えることは、そのQRコードを手渡した人が悪意を持っているなどを除き困難であり、概ね安全と推測されます。
3.1.4. VPNを利用する
フリーWi-Fiを安全に利用する方法としてVPNサービスを利用する方法もあります。QRコードを使ってフリーWi-Fiに接続する際に、これらサービスを使うことで、万が一悪意のあるフリーWi-Fiであっても安全に利用できるようになります。
ただし、VPNサービスには無料で提供されていて安全性が不明なサービスもあるので、利用するVPNサービスは信頼できるサービスを利用することが推奨されます。
3.1.5. 個人情報や決済情報などの入力が不要なサイトのリンクQRコードを利用する
QRコードからアクセスした先で、個人情報や決済情報などの入力を行わない、案内サイトのようなQRコードの場合、悪用されるメリットがなく、安全と思って問題ないと思われます。例えば、ショッピングモールやデパートでエリアやフロアの案内地図などを表示するケースなどが一例として挙げられます。
ただし、不適切な広告や警告が表示される場合は、悪のあるQRコードの可能性が高いため、利用を控えることが推奨されます。
3.2. 安全性を確認して利用する方法例
3.1 で説明したケースでQRコードを利用できるケースは、かなり限定的となります。したがって、それ以外のケースでQRコードを利用する際には、下記に示す点を注意の上、利用することが推奨されます。
なお、QRコード自体を見て安全性を確認することは、ほぼ不可能であり、推奨しません。
3.2.1. スキャン時に表示されるリンク先を注意する
QRコードをカメラで読込んだ際に、リンク先が表示されますので、そのリンク先が安全であるか確認することが推奨されます。
ただし、リンク先のURLが詐称したサービスに似通ったURLである可能性もあるため、リンク先だけで安全であることを判断することは推奨されません。
3.2.2. アクセスした先のリンク先を確認する
アクセスした先のQRのリンクが正しいリンク先が確認をすることが推奨されます。なお、リンク先のURLを見ても正しいURLであるか確認することは難しいため、例えば、検索エンジンを使って利用するサービスを調べ、そのリンク先のURLと同じであるか確認をするなどの方法があります。
3.2.3. 公衆Wi-Fiに接続せずに利用する
公衆Wi-Fiには悪意のあるWi-Fiも存在します。これらWi-Fiを利用している場合、正規のURLにアクセスしても、偽サイトに誘導される可能性があります。したがって、QRコードを使ってアクセスする場合は、Wi-Fiをオフにして利用することが推奨されます。ただし、通信キャリアが提供するWi-Fiであれば、オフにせず利用して問題ありません。
3.3. 利用を控えた方がよいQRコードの例
下記に示すQRコードの利用はリスクが高いため、利用を控えることが推奨されます。
3.3.1. 出所が不明なQRコード
QRコードのソース元が不明なQRコードの安全性を確認することは非常に困難であり、利用は控えることが推奨されます。
3.3.2. 怪しいキャンペーンのQRコード
3.3.1で説明の通り、出所が不明なQRコードの利用はリスクが伴います。特に、「登録するとxがもらえます」とか「抽選でxx名にxxが当たります」など特典等を謳ったキャンペーンは、特にリスクが高く、利用は控えることが推奨されます。
ただし、3.1.3 での説明にもあるように、サービス提供元から受領したQRコードを利用したキャンペーンなどであれば、安全と考えられます。
3.3.3. QRコードを利用したリンク先で警告が表示されるQRコード
HPにアクセスした際に、「ウイルスに感染しています」、「不要なファイルを削除します」など警告を表示させ、これら解消を謳ったマルウェアをインストールさせる偽警告詐欺があります。
QRコードを読み込んでアクセスした先で、このような警告を表示された場合は、偽警告である可能性が高いため、このQRコードの利用は控えるべきです。
また、偽警告ではないが、異常に広告が表示させるなどの場合は、アフェリエイト詐欺(そのページをアクセスさせることで収益を得る)などの可能性が高いので、このような場合も利用を控えるべきです。
3.3.4. フリーWi-Fi接続に利用するQRコード
フリーWi-Fiには悪意のあるWi-Fiも存在します。このようなWi-Fiに接続した場合、通信を傍受や、悪意のあるサイトに誘導されることがあります。
したがって、3.1.4 の対策行えず、安全性が確認出来ないフリーWi-Fiの場合、QRコードによるフリーWi-Fiの接続は控えることが望ましいです。
3.4. QRコードを使ってアクセスした際の注意事項
QRコードを通じて個人情報を入力する際には、その必要性と安全性を確認が必要となります。
特に、クレジットカード情報などを使って決済をする場合、万が一、これら情報を窃取されると、さまざまな用途に利用されてしまいます。したがって、決済利用時には、リアルタイムで決済結果をメールで受領するようにするなどし、不正利用されていないか確認することが推奨されます。
4. サービス提供者に求められる対策
QRコードの普及に伴い、益々QRコードを利用したサービスが拡大されるこが予想されます。したがって、サービス提供者は、利用者に対して安全なQRコードの利用できる環境の提供が求められます。
なお、どの対策も一長一短あるため、自社のサービスの利用シーンを鑑みて、対策を講じることが重要となります。
4.1. 自社サービスのスマホアプリからQRコードにアクセスさせる
すでにいくつかのサービスで提供されている事例がありますが、自社サービスのスマホアプリからQRコードを読み込ませる方法となります。
スマホアプリからQRコードを読み込む際に、そのQRの真偽を確認することで、詐称したQRコードの利用を防ぐことが可能となります。
すでに、スマホアプリを提供しているサービスにおいて、QRコードの利用を行う場合は、これら方法を実装することを検討することが期待されます。
4.2. QRコードの提供方法を工夫する
QRコードをオープンな環境においてある場合、詐欺者がそのQRを差し替えるなどの悪意を働くことが想像されます。したがって、利用者に提供するQRコードを手渡しするなど、提供方法を工夫することで詐欺を防げる可能性が高くなります。
4.3. QRコードが差し替えられてないか、定期的に確認する
オープンな環境にQRコードを提供している場合、4.2 の対策が困難なことが想定されます。
したがって、このような場合は、QRコードが差し替えられていないか、定期的に安全性を確認することが推奨されます。定期的に安全性を確認することで、万が一詐称されても、早期に発見可能となり、また、このように確認を行っていることを詐欺者が認識した場合、QRコード差し替えによる効果が期待できないことを認識し、悪意を働くことを控える可能性も出てくると想定されます。
4.4. QRコードが差し替えられてないか、監視カメラにて確認する
4.3の代替え手段として、QRコードの差し替えが行われていないか、監視カメラで確認するという手法も考えられます。もし、差し替えを行われても、監視カメラに差し替えしている行為が録画されていれば、あとから警察に通報するなど対策を行うことが可能となります。
また、監視カメラに映った画像からQRコードの差し替えを機械的に判断することができれば、早期な対策も可能となると推測されます。
4.5. QR利用時の注意書きを掲載する
オープンな環境にQRコードを掲載している場合には、QRコードの悪用に関する注意手順を掲載し、安全性の確認方法を記載します。
これらの方法は、利用者が意識しないと効果は得られませんが、警告を載せることで、犯罪抑止につながる可能性も期待できるため、何もしないよりは実施した方がよいと思われる対策となります。
4.6. 自社サービスのスマホアプリからQRコードを表示させる
偽造チケットによる詐欺を防ぐ手法で、チケット自社サービスのスマホアプリからQRコードを表示させる方法となります。この方法であれば、詐欺者が偽造チケットの作成が出来なくなり、詐欺行為を防ぐことが可能となります。
4.7. QRコードを動的に生成し有効期限を設ける
オンラインチケットなどにおいて有効な対策であり、QRコードを動的に生成することで、固定のQRコードを提供しても効果がない状況を作り出します。
例えば、オンラインチケットサイトにログインし、QRコード表示を選択し、時限的なQRコードを表示させる方法などが考えられます。このような方法を利用することで、利用者が認識さしていれば、偽造QRコードによるチケット転売詐欺を防ぐことが可能となります。
また、この対策は、転売防止の効果もあります。
5. まとめ
QRコード詐欺については、増加の一途である一方、詐欺方法も多岐にわたるため、完璧な対策をするのが困難となっています。
したがって、利用者においては、QRコード詐欺にどのようなものがあるかを十分理解し、安全に利用する方法を理解し利用することが推奨されます。
また、サービス提供者においては、利用者の安全性を高めるため、自社サービスに適した安全対策を実施することが期待されます。
本ガイドでは、QRコード詐欺の事例を踏まえ、利用者、サービス提供者視点での対策をまとめていますので、これらを参考に対策することでQRコード詐欺の被害削減に寄与できることを期待しています。