1年で175倍に!「QRコード」悪用の深刻な実態 偽のQRコードを読み込むと、お金も個人情報も奪われる危険性
QRコードを読み取る際、それが元のQRコードの上にシールなどで貼り付けられていないか、ほかのものと様子が違わないかを確認してほしい。攻撃者が本物のQRコードの上に、偽物を貼り付けている可能性もあるからだ。 実際に自転車のシェアリングサービスや駐車場などで、攻撃者が偽物のQRコードのシールを貼り付けて、支払った金銭を窃取する攻撃が発生している。 ■スマートフォンの乗っ取りに注意を もう1つ気をつけなければならないのは、QRコードをスキャンさせるだけでスマホが乗っ取られる手口だ。
コンピューターウイルスの中には、iPhoneやアンドロイド端末から情報を収集するタイプのスパイウェアと呼ばれる高度なものがある。例えばイスラエル製のスパイウェアである「ペガサス」は、iPhoneに感染することによって、その人の位置情報、写真、通話記録、メールなどすべてを入手することができてしまう。 そのうえ、遠隔からマイクやカメラをONにすることも可能。背筋も凍る話だが、攻撃者はその携帯端末をフルコントロールできるようになるのだ。
■敵を知ることで、己を守る 企業がQRコードを用いた攻撃に備えるには、QRコードにリンクされるURLを解析できるメールセキュリティシステムにアップグレードするほか、デバイス認証を導入したり、従業員に対して実際に出回っている攻撃を模した攻撃シミュレーション演習を行い、訓練したりすることが重要だ。 また個人一人ひとりも、QRコードをスキャンする際に、そのQRコードが上から貼り付けられたものではないか、印刷物自体が怪しいものではないのか、QRコードが含まれているメールの差出人が正しいのかなどを疑う必要がある。
少しでも不安に感じる場合は、QRコードを読み込むのではなく、ブラウザから検索して目的のURLにたどりつくのも1つの手だ。 QRコードに限らず、新しい攻撃手法は次々と編み出されている。サイバーセキュリティは「知る」と「知らない」とでは、対応に大きな差が出る。まずは敵を知ることが重要だ。 今、どのような攻撃手法が出回っているのかを把握することで、攻撃を見抜くヒントを得ることになり、サイバー攻撃に対する砦になりうる。
増田 幸美 :日本プルーフポイント チーフエバンジェリスト