トレンドマイクロ株式会社は9月28日、QRコードを悪用した詐欺手口についてブログで発表した。
同社ではQRコードの普及について、攻撃者がマルウェアのツールキットを用いてユーザの個人情報や重要な資産を盗むための土壌としての役割を果たしていると指摘し、FBIが警告を発したほど蔓延し巧妙になっているとしている。
攻撃者は、QRコードの安全性についてあまり知識のない、無防備な一般人を狙っており、下記の一般的なQRコード詐欺とその手口について解説している。
・QRコードのオーバレイ
攻撃者が偽のQRコードのシールを印刷し、店舗や公共スペースに掲示されているQRコード付きの看板やポスターの上に物理的に貼り付ける。
・フィッシングメールにおけるQRコード
従来のセキュリティソリューションでは、不正なURLがメールに表示されると警告が出されるが、QRコードにリンクされているか隠されている場合には警告が発せられないため、警告を回避するために利用される。
・プレミアムサービス加入のためのQRコード
攻撃者はQRコードを利用し、無防備な一般人をプレミアムサービスに加入させ、ユーザに毎月請求される料金を詐取する。
・暗号資産関連のQRコード
攻撃者はQRコードを利用し、ユーザに報酬を得られると約束し偽の暗号資産ウォレットをダウンロードさせる。
・QRコード及びバーコードスキャナーアプリ
2021年半ばに、マルウェア「Anatsa」とリンクしたQRコードやバーコードのスキャナアプリがGoogle Playに登場、インストール時にアプリのアップデートを強制し、アップデート後はユーザに提供元不明のアプリのインストールを許可するよう促す。
・QRコード作成アプリ
トロイの木馬に感染したアプリはQRコード作成アプリを装い、ユーザに登録を求め完了した後に、攻撃者が詳細なデバイス情報を取得すると、アプリはトロイの木馬を自らダウンロード、インストールし、ログイン情報や銀行口座情報などの個人情報を窃取する。
トレンドマイクロでは、QRコードの安全性を確保する方法として、下記を挙げている。
・個人情報を入力する前に、リンク先の政府機関やその他の公的サービス提供者のウェブサイトが正規のものであることを確認する。
・銀行や企業等のアカウントでは、多要素認証を有効にしてログイン情報の盗難を防ぐ。
・加盟店などで直接支払いをする際には、正規のQRコードの上に不正なシールが貼り付けられていないかどうかを確認する。
・QRコードでの支払いは、信頼できる加盟店やサービス提供者及び知人と直接取引する場合に限定する。
・アプリから権限の付与を要求された場合は、不正なアプリの可能性もあるため十分に注意する。
・QRコードの読み取りには、デバイスにデフォルトとして設定されたカメラアプリを使用する。
・ウイルスやマルウェア対策用のモバイルセキュリティアプリをインストールして、スマートフォンの安全・安心を守る。
