サイバー脅威
QRコードを悪用した詐欺手口と対策を解説
この記事では、攻撃者がQRコードを悪用し、ユーザを騙すさまざまな詐欺手口について事例を交えて解説します。またその詐欺からユーザが身を守るための対策をご案内します。
世界中が新型コロナウイルスの大流行が終息することを切望しているなか、健康医療の専門家は、ウイルスが永久になくなることはないと指摘しています。そのため、現実的なアプローチとしては、私達がコロナウイルスと共存することを学び、それを上手にコントロールしていくことでしょう。同時に、パンデミックによって引き起こされたデジタルライフの変化は、今後も継続していくと考えるのが妥当でしょう。例えば、キャッシュレス化や非接触型決済のニーズは存続していくと考えられます。そして、多くの企業がこのニーズに応えるために、QRコードの活用を進めています。
QRコードとは、数字だけであれば最大7,089字、英数字であれば4,296字の情報量を扱うことができる二次元バーコードのことです。QRコードはほとんどのモバイル端末のカメラに内蔵されているQRコードスキャナーやリーダーを使って読み取ることができ、コード化されているデータを読み取ります。QRコードは基本的に文字列であり、ウェブサイトへのリンクや決済システムの公式アカウントへのURLが含まれています。QRコードを読み取ることにより、ユーザはウェブブラウザで長いアドレスを入力したり、加盟店における決済の際に登録名や登録番号を手動で入力する手間が省けるなどの利点があります。
QRコードの利便性とモバイル端末の高い使用率がこの二次元バーコードの普及に大きく寄与していることは明らかです。一方で、QRコードの普及は、攻撃者がマルウェアのツールキットを用いてユーザの個人情報及び重要な資産を盗むための土壌としての役割も同時に果たしています。実際、これらの脅威は、FBIが最近警告を発したほど蔓延し、巧妙になっています。
攻撃者は、QRコードの安全性についてあまり知識のない、無防備な一般人を狙っています。それでは、どのようにすればQRコード詐欺を回避できるのでしょうか。この記事では、攻撃者がQRコードを使ってユーザを騙すさまざまな手口について解説し、ユーザが身を守るための手引をご案内します。
物理的手段を用いた詐欺事例
サイバー犯罪は、完全にデジタル空間でのみ発生すると一般的に考えられていますが、QRコードに関連する脅威は、部分的ではありますが物理的な領域で発生する可能性があるという点で異なっています。
QRコード詐欺の中で物理的に実行される代表な手口としては、攻撃者が偽のQRコードのシールを印刷し、本物のQRコードの上に物理的に貼り付けるというものがあります。一般的に、店舗や公共スペースに掲示されているQRコード付きの看板やポスターは安全だと考えられているため、攻撃者が詐欺の一環として正規のQRコードを偽物に置き換えたことにユーザが気付かない可能性があります。
これは、中国における自転車シェアリングの支払いに関わる事業で発生した事例です。攻撃者は、利用者が利用料金を支払い、自転車のロックを解除する前にスキャンする必要があるQRコードを差し替えたと報じられています。その結果、ロックが解除されることなく、使用者の支払った利用料金が攻撃者の口座に振り込まれていました。
また、先日も米国の複数の都市で、駐車場のメーターに貼られた正規のQRコードの上に不正なシールを貼り付ける方法により、使用者にフィッシングサイトに決済情報を入力させるという類似した手口について、警察当局が警告を発したばかりです。
QRコード詐欺のもう一つの事例は、オランダの駐車場で発生し、数千ユーロに及ぶ盗難の被害が発生しました。攻撃者は、駐車場の機械が壊れているからと偽り、正式な機械で駐車料金を支払わないように使用者に声をかけたと報じられています。その際、攻撃者は信用性が高まるように制服を着用し、代わりに持っていたQRコードをスキャンするよう被害者を説得し、金額を攻撃者の口座に振り込ませたと報じられています。
デジタル空間における詐欺事例
QRコードによる詐欺は、物理的な領域だけでなく、デジタル空間で行われるものもあります。
攻撃者は、QRコードをフィッシング詐欺に利用することも一般的です。これは、別名「Quishing」と呼ばれています。従来のセキュリティソリューションでは、不正なURLがメールに表示されると警告が出されますが、QRコードにリンクされているか隠されている場合には警告が発せられないため、攻撃者は警告を回避する目的のために利用します。
2021年12月、ドイツにおいて、QRコードを利用してユーザの銀行の認証情報を盗み出すフィッシング詐欺が報告されました。この事例では、攻撃者が銀行になりすまし、メールを送信しています。受信者は、メール内のQRコードをスキャンし、プライバシーポリシーの変更を確認した後、それに同意するよう求められました。しかし、このQRコードはフィッシングサイトにリンクされており、被害者は知らずのうちに銀行の認証情報を入力し、攻撃者に収集されていました。
昨年末には、Microsoft 365の認証情報を入手するためのQRコードを利用したフィッシング詐欺も報告されました。この事例では、まず、攻撃者は漏洩していたメールアカウントを利用し、被害者にメールを送信しました。そのメールには、ボイスメールのメッセージが含まれており、受信者(被害者)はメールに含まれるQRコードをスキャンすることでそのメッセージを聞くことができる仕組みとなっていました。しかし、このQRコードは、Microsoft 365の認証情報を盗むために作成された不正なログインページにリンクされていました。
攻撃者は、QRコードを利用して、無防備な一般人をプレミアムサービスに加入させ、ユーザに毎月請求される料金を搾取していました。この方式は、「GriftHorse」と呼ばれ、アンドロイド用トロイの木馬で利用されました。2021年9月までに世界中で1000万人以上の被害者が報告されています。
攻撃者は、QRコードを利用して、ユーザに報酬を得られると約束し、偽の暗号資産ウォレットをダウンロードさせます。実際に、そこで使用されるのは偽のトークンです。また、別の方法としては、QRコードを使用して、マイニング手数料の削減を約束する偽の暗号資産ウォレットをダウンロードさせるという手口も存在します。
さらに、QRコードを利用してトークンを不正に承認させ、暗号資産ウォレットから別のウォレットに資産を移動させる詐欺も発生しています。この詐欺は、多額の資金を失う代表的な例の一つとして報告されています。
さらに、暗号資産関連では、イーサリアム・ブロックチェーンに対応した仮想通貨ウォレットであるメタマスクに関わるQRコード詐欺が発生しています。攻撃者は、QRコードを通じてメタマスクの拡張アカウントに侵入し、アカウント所有者の秘密鍵なしで資金を送金していました。
2021年半ば、マルウェア「Anatsa」とリンクしたQRコードやバーコードのスキャナアプリがGoogle Playに登場しました(現在は削除されています)。このようなアプリへの感染は、インストール時にアプリのアップデートを強制することから始まります。これは、ユーザがアプリを使用し続けられるようにする目的があります。
アップデートに成功した後、アプリはユーザに提供元不明のアプリのインストールを許可するよう促します。ユーザは、アプリを正常に作動させるためには手続きが必要であると信じ込まされているため、インストールの許可を与えてしまいます。インストールが完了すると、マルウェアはデバイス上で実行され、直ちにユーザにアクセシビリティの権限の付与を要求します。
ユーザがアクセシビリティの権限を付与した後、攻撃者はデバイスを完全に制御できるようになります。この時点で、マルウェアに感染したアプリは、正規のアプリとして実行され、作動するようになります。こうして、攻撃者がログイン情報を盗み出し、無防備なユーザのデバイスに表示されるすべての情報にアクセスするための準備が整いました。
トロイの木馬に感染したアプリは、QRコード作成アプリを装います。ハッカー集団「Brunhilda」によって実行された事例では、まずこのアプリがユーザに登録を求めます。登録が完了し、攻撃者が詳細なデバイス情報を取得すると、アプリはトロイの木馬を自らダウンロード、インストールし、ログイン情報や銀行口座情報などの個人情報を窃取します。
- 個人情報を入力する前に、リンク先の政府機関やその他の公的サービス提供者のウェブサイトが正規のものであることを確認する。URLに誤字脱字がないか確認する。
- 知人や団体から送られてきたメールに記載されているQRコードを読み取る前に、再度安全性について確認する。銀行、企業等のアカウントでは、多要素認証を有効にして、ログイン情報の盗難を防ぐ。
- 加盟店などで直接支払いをする際には、QRコードを確認し、正規のQRコードの上に不正なシールが貼り付けられていないかどうかを確認する。
- QRコードでの支払いは、信頼できる加盟店やサービス提供者及び知人と直接取引する場合に限定する。
- アプリから権限の付与を要求された場合、不正なアプリの可能性もあるため、十分に注意する。
- QRコードの読み取りには、デバイスにデフォルトとして設定されたカメラアプリを使用する。トレンドマイクロ の「Trend Micro QR Code Scanner for Android」や「Trend Micro™ Mobile Security for iOS and Android」により、QRコードをテストスキャンし、危険なウェブサイトへのリンクが含まれているかどうかを確認することも可能である。
- ウイルスやマルウェア対策用のモバイルセキュリティアプリをインストールして、スマートフォンの安全・安心を守る。
トレンドマイクロ™ のモバイルセキュリティ
トレンドマイクロのモバイルセキュリティは、iOSおよびAndroidデバイスを、紛失、データ盗難、ウイルス、その他のオンラインの脅威から強力に保護します。また、オンライン詐欺や不正行為を検知し、安全なモバイルライフを実現します。クラウドベースの「Trend Micro™ Smart Protection Network™」及び「Trend Micro Mobile App Reputation Service」により、脅威を事前に阻止することができます。
参考記事:
• 「Hidden Scams in Malicious Scans: How to Use QR Codes Safely」
By: Dustin Childs, Zero Day Initiative
翻訳:新井 智士(Core Technology Marketing, Trend Micro™ Research)