QRコードのセキュリティ対策|偽装QRコードの仕組みや被害事例について徹底解説|サイバーセキュリティ.com

QRコードのセキュリティ対策|偽装QRコードの仕組みや被害事例について徹底解説



QRコードは、正方形をしたバーコードの一種で、その中にメールアドレスやインターネットのURLを埋め込むことができるようになっています。また、LINEなどのSNSでも友達登録などで使われるようになっています。

最近、こうしたQRコードで偽装などセキュリティ上の問題が起こる事例が増えています。こうした事例にはどういった危険があり、どのように対処すれば良いのでしょうか。本記事では、QRコードの持つ危険性と被害に遭わないための対処法を見ていきましょう。

QRコードの仕組み

よくスマートフォンのサイトや、商品のラベルなどで見かける四角いバーコード。これが「QRコード」です。QRコードは、二次元コードと呼ばれており、従来は工場などでの利用が想定されていましたが、現在では、さまざまな分野での利用が広がっています。

QRコードでは、セルと呼ばれる正方形の小さなパターンが白か黒かということで、情報を埋め込んでいます。周囲の角の四角は読取り時の歪みを補正するもので意味はありません。こうしたセルのパターンを利用してメールアドレスやインターネットのURLなどさまざまな情報を埋め込んでいます。

偽装QRコードの仕組み

QRコードには、さまざまな情報が埋め込まれ、かつスマホなどでも手軽に使えることから、幅広く利用が広がっています。しかし、それに伴ってQRコードの中身を改ざんするなどの「偽装」が問題になってきています。

「偽装」QRコードでは、本来正しい情報が入っているURLなどを書き換えて、利用者がQRコードを参照した場合に、フィッシングサイトなどの不正なサイトへ誘導させるといったことをします。中には不正サイトと気付かずに、例えば情報の入力や送金などをする利用者もあり、詐欺の被害が起こるもととなっています。

偽装QRコードが用いられた被害事例

これまで偽装QRコードによって引き起こされた被害にはどういったものがあるのでしょうか。ここでは、事例を2点紹介します。

ケース1. QRコードの偽装による不正送金

特にキャッシュレス化が進んでいる中国などで頻繁に発生している事例です。例えば、商品などに貼られたQRコードを改ざんし、支払いの際に正規の販売者ではなく、改ざんした犯罪者に代金が支払われてしまうというケースがあります。こうなると、正規の販売者に代金が支払われなくなるだけでなく、犯罪グループにも資金提供したことになり、非常に大きな問題です。

ケース2. 偽装QRコードによるスマホの乗っ取り

偽装QRコードには、さまざまな情報を組み込むことができます。スマホなどでQRコードを読むことで、不正なプログラムをダウンロードさせるという事例があります。不正プログラムの中には、スマホの脆弱性を悪用して乗っ取ってしまうものも見つかっています。こうしたプログラムを利用してスマホを乗っ取られてしまうと、連絡先など重要な個人情報の漏洩につながるだけでなく、端末を悪用して振り込め詐欺などさまざまな犯罪に流用される可能性もあります。

QRコードの危険性

多くの情報を盛り込めるQRコードは、便利な反面危険性もあります。とくに危険だと言えることは「QRコードが偽物かどうか判別することが難しい」ということです。

QRコードは、肉眼では内容を読み解くことはほぼ不可能です。そのため、偽装QRコードとして改ざんされていても気づくことはかなり難しいと言わざるを得ません。また、QRコードとして読み取ると、そのままリンクを開いてしまう場合も多く、それが被害の発生につながっています。

偽装QRコードへの対策方法

偽装QRコードから、パソコンやスマホなどの端末を守り、被害に遭わないためにはどういった対策が必要なのでしょうか。以下で4つの方法を挙げます。

  1. パソコンやスマホにセキュリティ対策ソフトを導入する
  2. QRコードでリンクを開く場合、必ずリンクアドレスをチェックする
  3. 紙に印刷されたQRコードは改ざんしやすいので利用しない
  4. セキュリティ機能を搭載したQRコード(SQRC)を利用する

QRコードでも、不正なプログラムなどは脆弱性を悪用するケースがほとんどなので、セキュリティ対策ソフトを利用することが大切です。また、QRコードは、すぐに開きがちですがリンクを確認してから開くこともポイントです。

加えて中国の例にもあるように改ざんされたQRコードは紙に印刷されているケースも多いので、極力そうした場合にも使わないようにしましょう。また、最近では読み取り制限などの機能を持つSQRCと呼ばれるセキュリティ機能のついたQRコードもあるので、自分で使う場合にはこれを利用するのもおすすめです。

まとめ

多くの情報を盛り込むことができるQRコードは、パソコンやスマホなどでも手軽に利用できることから急速に活用が広がっています。しかし、その反面、これを悪用した犯罪行為も発生してきています。

偽装QRコードは、中身が判別しにくいというQRコードの特徴を悪用し、データを改ざんすることによって被害をもたらすもので、不正なプログラムの導入や端末乗っ取りなどの事例があります。

こうした偽装QRコードによる被害を防ぐには、セキュリティ機能つきのQRコードの活用や、リンクを開くときのアドレス確認など今回紹介した対策をしっかりと行うことがとても大切です。
(QRコードはデンソーウェーブの登録商標です)


SNSでもご購読できます。