サイバーセキュリティ企業のCyberArkが6月2日(現地時間)、公式ブログ「Step Away From the QR Code and Read These 7 Safety Tips」において、QRコードに潜む危険性について伝えるとともに、QRコードを悪用した攻撃から身を守るための方法についてまとめている。QRコードは情報にアクセスする際に極めて便利なツールだが、近年はフィッシングをはじめとするサイバー攻撃にも積極的に悪用されるようになってきているため、改めてその危険性を認識する必要がある。

CyberArkは、QRコードを悪用した3つの攻撃シナリオを紹介し、その危険性を警告している。1つは就職説明会の告知を装った攻撃で、広告に記載されたQRコードを読み取ると個人情報の入力を求める偽のWebサイトに誘導されるというもの。2つ目はQRコードからGoogle Playストアに似せたアプリストアに誘導し、不正なアプリをインストールさせるというもの。3つ目はレストランのテーブルに、メニューのWebページに移動するかのように見せかけたQRコードを貼り付けておき、悪意のある処理を実行させる偽のサイトにリダイレクトするというものだ。

いずれの攻撃も、どのようにして被害者をだまして不正なQRコードを読み取らせるかがポイントになっている。例えば3番目の例では、レストランのテーブルには本来はメニューを表示する正規のQRコードが貼られており、攻撃者がシールを貼るなどの方法でそれを上書きしているかもしれない。求人説明会の広告も、本物の広告に似せてQRコードの部分だけ書き換えたものが紛れ込んでいたとしたら、不正に気づくのは難しいだろう。

  • レストランのテーブルに貼られた2つのQRコード。左が正規のもので、右が不正ななもの(引用:CyberArk Blog)

    レストランのテーブルに貼られた2つのQRコード。左が正規のもので、右が不正ななもの 引用:CyberArk Blog

CyberArkでは、このようなQRコード攻撃から身を守るために次の7つの対策を紹介している。

  • QRコードを使用せず、URLを入力して直接Webサイトにアクセスする
  • QRコードをスキャンする前に、誰がそこに置いたものかをよく確認する
  • QRコードをスキャンした後に、案内されるURLが目的のWebサイトなのかをよく確認する
  • QRコードが物理的に改ざんされていないかを確認する
  • QRコードに案内されたWebサイトからアプリをダウンロードしない
  • QRコードを介して電子決済を行わず、ネイティブアプリや公式サイトを使用する
  • 多要素認証を有効にする

これらは、電子メールを悪用したフィッシングに対する防御手段とほとんど変わらない。しかしQRコードの場合は、実際にコードを読み取ってみるまでは記載された内容を確認することができないため、不正に気付きにくいという特徴がある。原則としてQRコードは信用せず、電子メールと同様の注意深さを適用することが推奨される。