ESETは10月15日(現地時間)、「Quishing attacks are targeting electric car owners: Here’s how to slam on the brakes」において、電気自動車のオーナーを標的にしたQRコード詐欺(クイッシング)に注意を喚起した。欧州連合(EU: European Union)を中心に詐欺が増加しており、悪質なものでは詐欺被害に加えて自治体の罰金を科せられる可能性もあると指摘している。

  • Quishing attacks are targeting electric car owners: Here’s how to slam on the brakes

    Quishing attacks are targeting electric car owners: Here’s how to slam on the brakes

「QRコード詐欺」とは

QRコード詐欺とは、正規のQRコードの上に偽のQRコードを貼り付け、被害者をフィッシングサイトに誘導する詐欺手法のこと。主に支払い用のQRコードを差し替え、偽の支払いにより資金や個人情報やクレジットカード情報などを窃取する。

EUでは環境保護への取り組みが進められており、電気自動車が広く普及している。そのため、地域全体で60万台以上のEV充電スタンドが完備され、移動先で充電して支払うことも日常となっている。

この支払い時に専用アプリや現金を所有していないユーザーは、EV充電スタンドに貼り付けられたQRコードを読み取り、Webサイトから支払いを済ませることになるが、このQRコードを差し替える詐欺が増加傾向にあるとされる(参考:「フィッシング攻撃に悪用されるEV充電スタンド、シール貼りしたQRコードに注意 | TECH+(テックプラス)」)。

より悪質な事例

ESETはEV充電スタンドの事例よりも、より悪質な事例としてパーキングメーターの詐欺事例を取り上げている。パーキングメーターは道路上に設置された簡易の駐車システムで、日本では都道府県公安委員会が管理している。EUにおいても主に地方自治体が管理しており、支払いを無視すると駐車違反の罰金を科せられる可能性がある。

ESETによると、EUではこのパーキングメーターに表示された支払い用のQRコードを差し替える同様の詐欺が数多く報告されているという。この詐欺被害に遭った場合、被害者は駐車料金を支払ったつもりになるが、実際は支払いを済ませていないため、後日駐車違反として罰金を科せられることになる。

  • 英国のサウサンプトン市会議がFacebookに投稿したQRコード詐欺の注意喚起

    英国のサウサンプトン市会議がFacebookに投稿したQRコード詐欺の注意喚起

対策

ESETはQRコード詐欺を回避するために、次の対策の実施を推奨している。

  • QRコードを読み取る前に、シールが重ね張りされていることを確認する
  • 液晶表示のQRコードは比較的安全だが、印字タイプのQRコードの場合は他の支払い方法を採用する
  • QRコードを読み取って支払いを行う場合は、支払いの実行前にURLが正規のアドレスであることを確認する
  • 認証情報の窃取に備え、多要素認証(MFA: Multi-Factor Authentication)を積極的に使用する

なお、日本国内のパーキングメーターは現金による前払い方式のため、同様の被害に遭う可能性は低い。しかしながら、今後EV充電スタンドが普及した場合はQRコード詐欺が増加する可能性があり、警戒することが望まれている。