人がいればそこに犯罪が生まれるのはこの世の習いなのでしょうか――。情報化社会はとどまるところを知らず進展しており、それにつれて犯罪も、情報技術を高度に駆使したものに進化し続けています(進化という言葉を使うのは抵抗がありますが…)。本稿はバーコードコラムシリーズということで、QRコードを使った新型の詐欺行為について、どういった詐欺なのか、および対策は? などについて解説します。
不審なURLへの誘導にQRコードが使われるというのは、2023年頃から目立つようになってきた模様です。国内では、2023年10月に学習院大学で、翌11月にはいなげやとオートバックスセブンで、QRコードから不正なサイト・予定していないサイトに遷移してしまうケースが発生したことが報じられました。立て続けに起きたことで関心が集まったようです。
「クイッシング」という新語に見覚えはあるでしょうか? 英語では「Quishing」と書き、「QR code」+「Phishing」の頭文字を取って作られた造語です。
「Phishing」とあらためて英語で書かれると、はて何のことやら? と思ってしまう人もいるかもしれませんが、日本語では「フィッシング」と読まれ、オンラインでの詐欺行為の名称です。メールなどのエサを用いて、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取するので、それを釣り行為になぞらえてFishingと呼ぶようになりました。ただ、「釣り」を表すFishingとまったく同じスペルだと区別がつかないため、Fishingの「F」をもじって「Ph」に置き換えて、Phisingとなりました。国内では2004年に初の被害が確認されていますので、フィッシングには概ね20年の歴史があることになります。
従来のフィッシングの典型的な手口は、メールで、あなたの登録情報を念のため確認させてください、などと謳って、本物そっくりな偽サイトに誘導して、そこでユーザアカウントやパスワードの入力、クレジットカード情報の入力などをさせる、というものです。
あなたのパソコンはウィルスに感染してしまったので、画面の指示に従って今すぐ情報を入力してください! と焦らせる、なんていう手もありますね。情報を入力させるサイトは、本来のサービス運営事業者の保有ドメインとは異なっているので、今からクリックしてアクセスしようとしているURLドメインは何なのか、を注意深く見れば回避できたりもするのですが、ウィルスに感染しただの、アダルトサイトからの請求期限が迫っていて今すぐ支払わないとコンテンツ観賞の事実をばらす、だの言われると、人はつい焦ってしまうものです。
PCブラウザでWebにアクセスしていた時代は、リンクの上にマウスオーバーすることでブラウザのステータスバーにリンク先URLが表示されていましたが、スマートフォンアプリだとそれができない場合がある、というのも現代の困った点の一つです。また、“新規ドメインを取得して特設サイトを作りました(、のであなたがこのドメイン名に見覚えがなくてもべつにおかしくないですよ)”、という体で不正サイトへ誘導されてしまうと、もはや真偽の見分けようがない、ということも起こり得ます。
ただそうはいっても、上記のとおりフィッシング詐欺というのは約20年前から存在していたわけで、それだけ昔からあったということは逆に、対策や見分け方、気のつけ方などに対する教育・啓蒙も約20年間行われてきたということでもあります。だからこそ、厄介なことに犯罪者側は、より上手く欺けるようテクニックを磨き、また欺くのに使える新しいテクノロジーが出てきたらすぐにそれを活用しよう、とするのです。
そして今そのターゲットとなっているのがQRコードです。だから「QR code」+「Phishing」=「Quishing」、なのですね。メールから不正サイトへリンクしておいてクリックを促すのではなく、メール内にQRコード画像を貼りつけておいて、読み取りを促します。
(ちなみに、SMS(ショートメッセージサービス)を使ったフィッシングは「スミッシング」(Smishing)と呼ばれます)
クイッシングの(犯罪者側の)メリットは何といっても、QRコードを見ても、誘導先のサイトのURLがまったく解らない点です。旧来のフィッシングでは基本的にメール本文にURLを書かなければならないので、そのURLを慎重に見れば、“このURLは怪しいな?”と勘付かれる可能性があります。しかしQRコードに埋め込まれたURL文字列が何なのか、は人間には解りません。この特性を利用して、QRコードリーダーで読み取らせようとするのです。またメール本文中にURLが書かれていない場合、迷惑メールフィルタをすり抜ける可能性も高いと考えられます。
クイッシング被害を避ける方法としては、お使いのQRコードリーダーを確認して、QRコード読取直後に自動的に読み取ったURLを開く設定にもしなっていたら、その設定をオフにすることです。URLを開く前に、一呼吸おいてまずURLをじっくり見ましょう。オフにすることができないQRコードリーダーでしたら、他のリーダーアプリへの乗り換えを早急に検討したほうがよいでしょう。
(メディアシークのQRコードリーダーアプリ「アイコニット」は、読み取ったURLに即アクセスすることはありません)
QRコードは今や、Webページにアクセスするための手段だけではありません。買い物の際の代金支払いをQRコードで行うQRコード決済も着実に広まりつつあります。こうした場面でも、残念ながら不正行為・詐欺行為が散見されます。
QRコード決済は、別記事で説明したとおり「ストアスキャン方式」「ユーザスキャン方式」に分かれます。ざっくりいうと
「ストアスキャン方式」… 客が自分のスマートフォンに決済用QRコードを表示して、レジの店員に読み取ってもらう
「ユーザスキャン方式」… 店が決済用QRコードを提示して、客がそれを自分のスマートフォンで読み取る
となります。
このうち、「ストアスキャン方式」で発生の可能性があるのが「肩越しスキャン」と呼ばれる手法です。これは、レジ待ち中に自分のスマートフォンに決済用QRコードを先回りして表示させている客がいたら、その後ろの犯罪者が、その人の肩越しにQRコード画面を盗撮してしまう、というものです。
こうしたことが起きてしまう要因は、以下のように分解できると思います。
・少しでも早く買い物を済ませたいと思うがあまり、レジ待ち中の間に決済用QRコードを先んじて表示させておいてしまう
・決済用QRコードを表示させた状態で、ちょっと離れた場所の商品に手を伸ばして買い物かごに追加しようとしたり、バッグの中を覗き込んだり、同伴者とのお喋りに夢中になってしまったりする
こうした被害を防ぐためには、とにかく、決済用QRコード表示はレジで順番が来てからにする、または、事前に表示させておくにしても、スマートフォンの画面が見られてしまわないようバッグにしまっておくなどする、に尽きます。
(警視庁公式YouTubeチャンネル「サイバー犯罪被害防止対策用短編アニメーション映像 QRコードトラブル編」より)
前述の「ストアスキャン方式」でなければ被害に遭うことはないのか、というと、そうとは言い切れないのが厄介なところです。「ユーザスキャン方式」でも不正行為が起きる余地はあり、「ステッカー詐欺」と呼ばれています。
「ステッカー詐欺」とは、店舗内に掲出されている決済用QRコードの紙の上から、偽のQRコードを印刷した紙を貼ってしまう、というものです。ちょっと笑ってしまいそうになるくらい原始的な方法ですが、実際に起きました。
これを避ける方法としては、決済用QRコードは、お店のタブレットやスマートフォンに「動的」に表示させるようにしておく、というのが一番でしょう。決済が行われる度に新しいQRコードが生成されますので、偽QRコードを上から貼るなどということはできなくなります。事情があって静的QRコードでいきたい、という場合は、せめてそのQRコードを店内に掲出しっ放しにしておくのではなく、決済時だけ、レジの引き出しから出して見せる、といった工夫が必要になるでしょう。
客の立場としては、そうしたお店(決済用QRコードが店内に掲出しっ放し)は避けるのが何より賢明です。
ここまで述べてきた各タイプは。実はどれも、QRコード自体が悪さをするというものではありません。《正常に機能するQRコードを使って、不正な / 悪意のあるURLに誘導している》ものになります。
こういわれると、頭の中にクエスチョンマークが浮かんでしまう、という方もいるかと思いますが、『遷移先が、不正な / 悪意をもって作られたサイトなどであること』と、『QRコード自体は正常に読み取り可であること』とは別なのです。不正な / 悪意あるサイトを作る人間、およびそうしたサイトなどへのURLを埋め込んだQRコードを作成する人間が悪いのであって、QRコードの挙動自体がおかしいわけではない、ということです。
しかし、急に前言を翻すようですが、悪意をもって《挙動自体がおかしなQRコードをわざと作る》ことも実は可能なのです。
そうしたQRコードを撲滅するために、弊社メディアシークでは、「セキュアQRコードリーダー」という製品を開発しました。99%の確率で(当社調べ)改ざんされたQRコードを検出できるというものになります。かなり技術的な説明になるので詳細は省きますが、改ざんされた可能性を検知した場合は、読み取り後、画面にアラートが表示されるようになっています。興味のある方はぜひお問い合わせください。
種々の詐欺 / 不正行為のタイプを挙げてきましたが、ここで、それらの被害に遭わないためにできる基本的ポイントを列記して、本稿を締めくくりたいと思います。
[ユーザ側ができること]
・出所が不明なQRコードは読み取らない。特に、友人知人からまわってきたものだと、一次発信元が判らなくなっている可能性があるので気をつける。
・ページにアクセスする前に必ずURLを確認する。読取直後に自動的にURLにアクセスしてしまうQRコードリーダーは使わないor設定をオフにする。
・正規サイトと一字しか違わないURLで偽サイトが作られている場合や、有名サイトとトップレベルドメインだけが異なるケース( ~.com と ~.jp など)もあり得るので、URLは慎重に確認する。
・見覚えのないURLに移動しようとしている場合は特に念入りに気をつける。
・移動先が短縮URLである場合も念入りに気をつける、または移動を取り止める。
[サービス提供者側がすべきこと]
・印刷スペースなどが許すのであれば、QRコード画像と移動先URLテキストとを併記することを検討する。
・移動先URLに安易に短縮URLを使用しない。
・QRコードの移動先として新サイトを作る場合、メインドメイン下のディレクトリまたはサブドメインにサイトを設置するようにする。
・やむを得ず新規ドメインを立てた場合、そのドメインを安易に捨てない。ドメインは他者に再取得されて、信用性や集客力を悪用されてしまう危険性があるものと認識し、一度取ったドメインはできるだけ保持するよう努める。
・自社のメインドメインは、マスメディア広告 / オールドメディア広告なども活用しながら長期的に知名度を育て続ける。
・キャンペーンサイト、特設サイトなど用の新規ドメインは、メインサイトからのリンクやSNSからのリンクなどを通じて、正規サイトであることをアピールし続ける。
・自社のメインドメインと類似のドメイン名や、タイプミス発生が容易に予想できるドメインを悪意の第三者に取られないよう、それらのドメインを予防的に取得しておくことも検討する。
※本コラムに掲載した商品名、サービス名、会社名またはロゴマークは、各社の商標、登録商標もしくは商号です。
※QRコードは(株)デンソーウェーブの登録商標です。
株式会社メディアシーク
〒108-0072 東京都港区白金1丁目27-6 白金高輪ステーションビル
https://www.mediaseek.co.jp/
IR・広報担当 E-mail:press@mediaseek.co.jp
