カスペルスキーは2月7日、QRコードの危険性に関する記事を公式ブログで公開している。QRコードはテキスト情報やWebサイトへのリンク情報など、さまざまなデータを持たせることができ、スマートフォンのカメラで読み取るだけでそれらのデータを入手できる。その利便性の高さから、アジアだけでなく欧米でも人気を集めているが、一方でQRコードを利用した不正行為も増えている。
同社によると、正規のコードの上に不正なQRコードを貼り、ユーザーを悪意のあるWebサイトへと誘う事例が増えているという。この手法はフィッシング(Phishing)に似ていることから、「QRishing」とも呼ばれている。
通常、Webサイトへのリンク情報を持つQRコードを読み取ると、Webサイトにアクセスする前に、移行先のアドレスがデバイスの画面に表示される。しかしQRishingを行うサイバー犯罪者は、「bit.ly」などのURL短縮サービスを使ってアクセス先のアドレスをわかりづらくした上で、ユーザーの認証情報を盗み取るマルウェアを潜ませたページやフィッシングサイトにリンクするQRコードを仕掛けるという。
また、モバイル端末はマルウェアに対するセキュリティが不完全な場合や、モバイル端末用のブラウザはアクセスページの完全なURLを表示できないケースもある。
同社はこのようなリスクを減らすために、QRコードをスキャンする場合はコードの下に別のコードが隠れていないことをチェックし、コードをスキャンしてWebサイトにアクセスした場合は、しっかりURLを確認することが大切だとしている。
QRコードを利用してアプリをインストールするときも、アプリの評価やユーザーのフィードバックをよく読むべきだという。フィードバックが極端に少ない、もしくはまったく見つからない場合は危険性が大きい。
このほか同社はモバイル端末向けセキュリティアプリのインストールも推奨している。特にAndroid端末は現在、多くのマルウェアの標的になっており、セキュリティアプリの重要性が増しているという。
