サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

QRコードのセキュリティ対策|偽装QRコードの仕組みや被害事例について徹底解説



QRコードは、正方形をしたバーコードの一種で、その中にメールアドレスやインターネットのURLを埋め込むことができるようになっています。また、LINEなどのSNSでも友達登録などで使われるようになっています。

最近、こうしたQRコードで偽装などセキュリティ上の問題が起こる事例が増えています。こうした事例にはどういった危険があり、どのように対処すれば良いのでしょうか。本記事では、QRコードの持つ危険性と被害に遭わないための対処法を見ていきましょう。

QRコードの仕組み

よくスマートフォンのサイトや、商品のラベルなどで見かける四角いバーコード。これが「QRコード」です。QRコードは、二次元コードと呼ばれており、従来は工場などでの利用が想定されていましたが、現在では、さまざまな分野での利用が広がっています。

QRコードでは、セルと呼ばれる正方形の小さなパターンが白か黒かということで、情報を埋め込んでいます。周囲の角の四角は読取り時の歪みを補正するもので意味はありません。こうしたセルのパターンを利用してメールアドレスやインターネットのURLなどさまざまな情報を埋め込んでいます。

偽装QRコードの仕組み

QRコードには、さまざまな情報が埋め込まれ、かつスマホなどでも手軽に使えることから、幅広く利用が広がっています。しかし、それに伴ってQRコードの中身を改ざんするなどの「偽装」が問題になってきています。

「偽装」QRコードでは、本来正しい情報が入っているURLなどを書き換えて、利用者がQRコードを参照した場合に、フィッシングサイトなどの不正なサイトへ誘導させるといったことをします。中には不正サイトと気付かずに、例えば情報の入力や送金などをする利用者もあり、詐欺の被害が起こるもととなっています。

偽装QRコードが用いられた被害事例

これまで偽装QRコードによって引き起こされた被害にはどういったものがあるのでしょうか。ここでは、事例を2点紹介します。

ケース1. QRコードの偽装による不正送金

特にキャッシュレス化が進んでいる中国などで頻繁に発生している事例です。例えば、商品などに貼られたQRコードを改ざんし、支払いの際に正規の販売者ではなく、改ざんした犯罪者に代金が支払われてしまうというケースがあります。こうなると、正規の販売者に代金が支払われなくなるだけでなく、犯罪グループにも資金提供したことになり、非常に大きな問題です。

ケース2. 偽装QRコードによるスマホの乗っ取り

偽装QRコードには、さまざまな情報を組み込むことができます。スマホなどでQRコードを読むことで、不正なプログラムをダウンロードさせるという事例があります。不正プログラムの中には、スマホの脆弱性を悪用して乗っ取ってしまうものも見つかっています。こうしたプログラムを利用してスマホを乗っ取られてしまうと、連絡先など重要な個人情報の漏洩につながるだけでなく、端末を悪用して振り込め詐欺などさまざまな犯罪に流用される可能性もあります。

QRコードの危険性

多くの情報を盛り込めるQRコードは、便利な反面危険性もあります。とくに危険だと言えることは「QRコードが偽物かどうか判別することが難しい」ということです。

QRコードは、肉眼では内容を読み解くことはほぼ不可能です。そのため、偽装QRコードとして改ざんされていても気づくことはかなり難しいと言わざるを得ません。また、QRコードとして読み取ると、そのままリンクを開いてしまう場合も多く、それが被害の発生につながっています。

偽装QRコードへの対策方法

偽装QRコードから、パソコンやスマホなどの端末を守り、被害に遭わないためにはどういった対策が必要なのでしょうか。以下で4つの方法を挙げます。

  1. パソコンやスマホにセキュリティ対策ソフトを導入する
  2. QRコードでリンクを開く場合、必ずリンクアドレスをチェックする
  3. 紙に印刷されたQRコードは改ざんしやすいので利用しない
  4. セキュリティ機能を搭載したQRコード(SQRC)を利用する

QRコードでも、不正なプログラムなどは脆弱性を悪用するケースがほとんどなので、セキュリティ対策ソフトを利用することが大切です。また、QRコードは、すぐに開きがちですがリンクを確認してから開くこともポイントです。

加えて中国の例にもあるように改ざんされたQRコードは紙に印刷されているケースも多いので、極力そうした場合にも使わないようにしましょう。また、最近では読み取り制限などの機能を持つSQRCと呼ばれるセキュリティ機能のついたQRコードもあるので、自分で使う場合にはこれを利用するのもおすすめです。

まとめ

多くの情報を盛り込むことができるQRコードは、パソコンやスマホなどでも手軽に利用できることから急速に活用が広がっています。しかし、その反面、これを悪用した犯罪行為も発生してきています。

偽装QRコードは、中身が判別しにくいというQRコードの特徴を悪用し、データを改ざんすることによって被害をもたらすもので、不正なプログラムの導入や端末乗っ取りなどの事例があります。

こうした偽装QRコードによる被害を防ぐには、セキュリティ機能つきのQRコードの活用や、リンクを開くときのアドレス確認など今回紹介した対策をしっかりと行うことがとても大切です。
(QRコードはデンソーウェーブの登録商標です)





  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。