QRコードを悪用した詐欺手口 | ScanNetSecurity
2026.07.15(水)

QRコードを悪用した詐欺手口

 トレンドマイクロ株式会社は9月28日、QRコードを悪用した詐欺手口についてブログで発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 トレンドマイクロ株式会社は9月28日、QRコードを悪用した詐欺手口についてブログで発表した。

 同社ではQRコードの普及について、攻撃者がマルウェアのツールキットを用いてユーザの個人情報や重要な資産を盗むための土壌としての役割を果たしていると指摘し、FBIが警告を発したほど蔓延し巧妙になっているとしている。

 攻撃者は、QRコードの安全性についてあまり知識のない、無防備な一般人を狙っており、下記の一般的なQRコード詐欺とその手口について解説している。

・QRコードのオーバレイ
 攻撃者が偽のQRコードのシールを印刷し、店舗や公共スペースに掲示されているQRコード付きの看板やポスターの上に物理的に貼り付ける。

・フィッシングメールにおけるQRコード
 従来のセキュリティソリューションでは、不正なURLがメールに表示されると警告が出されるが、QRコードにリンクされているか隠されている場合には警告が発せられないため、警告を回避するために利用される。

・プレミアムサービス加入のためのQRコード
 攻撃者はQRコードを利用し、無防備な一般人をプレミアムサービスに加入させ、ユーザに毎月請求される料金を詐取する。

・暗号資産関連のQRコード
 攻撃者はQRコードを利用し、ユーザに報酬を得られると約束し偽の暗号資産ウォレットをダウンロードさせる。

・QRコード及びバーコードスキャナーアプリ
 2021年半ばに、マルウェア「Anatsa」とリンクしたQRコードやバーコードのスキャナアプリがGoogle Playに登場、インストール時にアプリのアップデートを強制し、アップデート後はユーザに提供元不明のアプリのインストールを許可するよう促す。

・QRコード作成アプリ
 トロイの木馬に感染したアプリはQRコード作成アプリを装い、ユーザに登録を求め完了した後に、攻撃者が詳細なデバイス情報を取得すると、アプリはトロイの木馬を自らダウンロード、インストールし、ログイン情報や銀行口座情報などの個人情報を窃取する。

 トレンドマイクロでは、QRコードの安全性を確保する方法として、下記を挙げている。

・個人情報を入力する前に、リンク先の政府機関やその他の公的サービス提供者のウェブサイトが正規のものであることを確認する。

・銀行や企業等のアカウントでは、多要素認証を有効にしてログイン情報の盗難を防ぐ。

・加盟店などで直接支払いをする際には、正規のQRコードの上に不正なシールが貼り付けられていないかどうかを確認する。

・QRコードでの支払いは、信頼できる加盟店やサービス提供者及び知人と直接取引する場合に限定する。

・アプリから権限の付与を要求された場合は、不正なアプリの可能性もあるため十分に注意する。

・QRコードの読み取りには、デバイスにデフォルトとして設定されたカメラアプリを使用する。

・ウイルスやマルウェア対策用のモバイルセキュリティアプリをインストールして、スマートフォンの安全・安心を守る。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  2. KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

  3. アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

    アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

  4. Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

    Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

  5. アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

    アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

ランキングをもっと見る
PageTop