Yahoo!ニュース

いよいよ始まったQRコード詐欺、あなたも騙される?!

森井昌克神戸大学 名誉教授
(提供:イメージマート)

フィッシング詐欺が大きな問題になっています。フィッシング詐欺とは、多くの人が日ごろ使っているECサイトやクレジットカード会社、あるいはネット銀行に成りすまして、偽のサイトに誘導し、IDやパスワード等の個人情報を収集し、その収集した個人情報を利用して悪事を働くことです。典型的な悪事として、その個人情報を利用して、ECサイトで商品を購入したり、クレジットカードを不正に利用したりすることです。

国内のフィッシング情報の届け出件数(フィッシング対策協議会、フィッシングレポート2023,p.1より転載)
国内のフィッシング情報の届け出件数(フィッシング対策協議会、フィッシングレポート2023,p.1より転載)

スマートフォンでのメール、SNS、あるいはSMSを使って、気を引くメッセージを送り、そのメッセージに従って、偽のサイトに誘導され、IDやパスワードを入力させ、それを搾取するのです。「細心の注意をしているので騙されることはない!」と多数の人が思っていることでしょう。そういう人ほど騙されるのです。詐欺というものは人の平常心を失わせて、その隙に付け込んで騙すことなのです。平常心を失わせる方法は多々あります。例えば、「今、〇〇で10万円の商品を購入しました」というようなメッセージが届き、確認してくださいと書いて、相手を慌てさせ、そこに書いている偽のサイトに誘導する手法です。不安という非平常心に付け込む手法です。逆に「過日、ネットで購入した宝くじに当選しました」というような欲という非平常心に付け込む手法も有ります。

これらのメッセージによって気を引いた上で偽のサイトに誘導するわけですが、ほとんどの場合、偽サイトのURLが直接記載、あるいはリンクが張られており、それをタップさせることで偽のサイトに誘導します。平常心を失っている状態であれば、URLを確認することもなく、相手の指示通り、IDやパスワード、クレジット番号やその有効期限、セキュリティコードまで入力してしまうのです。

一番の対策としてはそのようなメッセージに冷静に対処し、不正なサイトにアクセスしない、万が一アクセスしたとしても個人情報を入力しないことですが、それは容易ではないでしょう。詐欺をはたらく者はあらゆる手を駆使して、平常心を無くそうとするからです。それが詐欺なのですから。

次なる対策はフィッシングサイトに導こうとするためのメッセージ自体に対する警告です。メッセージの内容自体や誘導しようとするURLを解析し、フィッシングの可能性の高いメッセージに警告、さらには迷惑メールと同様な処置を行い、直接的には届かないようにする対策です。フィッシングサイト自体も悪意のあるサイトとしてブラックリストに登録や、さらに進んで抹消する対策も有効ですが時間がかかり、悪意のあるサイト自体も次から次へと作られ、その間に被害が拡散します。

以前から危惧されていたものの、最近になって多発しているのがQRコードを利用したフィッシング詐欺です。QRコードの危険性については6年以上前にYAHOO!JAPANニュースエキスパート 「QRコードのここがダメ?」 でこれから流行るであろう不正アクセスや詐欺について注意喚起しました。QRコードの利用が一般化するにつれて、スマートフォンでのQRコードの扱いが馴染み深く、容易になるにつれて、その不正利用が現実化してきています。海外では、ここ数年、フィッシング詐欺だけではなく、様々な詐欺に使われだし、米国のFBIが警鐘を鳴らしています。 特に最近のフィッシング攻撃ではQRコードの利用が一般化しています。海外の事例ですが

米セキュリティ企業Cofenseは8月16日(現地時間)、主に米エネルギー大手企業を標的とする、QRコードを使った大規模なフィッシングキャンペーンを観測したと発表した。米Microsoftの資格情報を狙ったもので、5月ごろに始まったという。5月以降、キャンペーンは2400%以上増加したとしている。

と深刻な事態が明らかになっています。フィッシングにQRコードが用いられることになった理由はQRコードを復号しない限り、メッセージの内容が分からず、誘導するURLもわからないことが理由です。今のところ、メッセージへ直接的に書かれた文章の内容やURLについては解析を行い、それが悪意を伴う内容、つまりフィッシング詐欺に関連するか否かの判定は可能ですが、画像として取り込まれたQRコードを切り出し、復号することまで行っていないからです。

国内に関して、被害事例はほとんどありませんが、ランサムウェアや最近ではSIMスワップ詐欺同様、詐欺や不正アクセスの手法の類は海外での流行の数年後には日本でも流行する傾向があるようです。広くは知られていないようですが、QRコードはURLの短縮コードのように、単にURLを黒白のまだら模様、タイル模様に変換するだけではありません。複雑な構造を有しており、特に素早く正確に読み取るために、数論に基づく高等数学や射影変換等の画像処理技術を用いており、その複雑さゆえに、それを悪用することによって様々な悪事を引き起こす可能性があるということです。スマートフォンのカメラによってQRコードを容易に読み込むことができ、またスマートフォンのディスプレイに表示されたQRコードも読み込みが可能です。QRコード決済も一般化し、QRコードを安易に扱うことによってフィッシング詐欺をはじめ、様々な悪事の被害に遭わないように対策を講じるべき時期に来ています。

続・いよいよ始まったQRコード詐欺、あなたも騙される?! (2023年8月29日配信)

神戸大学 名誉教授

1989年大阪大学大学院工学研究科博士後期課程通信工学専攻修了、工学博士。同年、京都工繊大助手、愛媛大助教授を経て、1995年徳島大工学部教授、2005年神戸大学大学院工学研究科教授(~2024年)。近畿大学情報学研究所サイバーセキュリティ部門部門長、客員教授。情報セキュリティ大学院大学客員教授。情報通信工学、特にサイバーセキュリティ、情報理論、暗号理論等の研究、教育に従事。内閣府等各種政府系委員会の座長、委員を歴任。2018年情報化促進貢献個人表彰経済産業大臣賞受賞。 2019年総務省情報通信功績賞受賞。2020年情報セキュリティ文化賞受賞。2024年総務大臣表彰。電子情報通信学会フェロー。

森井昌克の最近の記事