特に新型コロナウイルス感染症のパンデミックにより、一定の距離を保ち、他人のものに触れないようにすることが求められているため、QR コードはすでに私たちの生活の一部となっています。私たちは、旅行、身元確認、ワクチン接種の確認 ( Covid パスポートなど)、 WiFi ネットワークへの接続、レストランのメニューの読み取りなど、さまざまな目的で QR コードを使用します。
しかし、このテクノロジーには不安がないわけではありません。現時点では、Qrishing としても知られるQR を介したフィッシング事件が最近スペインで発見されました。スペイン国家警察は数日前、マラガで、 QRコードを介して実行され、被害者から個人データや銀行データを入手することを目的とした一種の詐欺を摘発した。
この記事では、セキュリティの専門家からのアドバイスをもとに、その仕組みと、こうした罠に陥らないようにするために知っておくべきことについて説明します。
QR がフィッシングでどのように使用されるか
まず、これらのフィッシング攻撃がどのように機能するかを理解するためにマラガの警察が発見したものを見てみましょう。人が QR コードをスキャンすると、必要な情報 (たとえば、レストラン、ジムへのアクセス、店舗に関する特定の情報) が含まれていると思われる Web サイトまたはアプリケーションが表示されます。その Web サイトやアプリにアクセスすると、情報を盗むことを目的とした悪意のあるリンクであることが判明する可能性があります。
いずれにせよ、 当局はこうした事例が見つかったと述べているが、具体的にどの企業が影響を受けたのか、また罠に陥った被害者の数は明らかにしていない。警察が発表したところによると、フィッシング事件ではいつも起こることだが、罠に陥らないようにするための主な方法の 1 つは、未知のリンクにアクセスしないことであり、この場合、未知の QR コードをスキャンしないことが含まれます。
INCIBE ( 国立サイバーセキュリティ研究所) は、いわゆる Qrishing (QR とフィッシングを組み合わせたもの) についてすでに説明しており、これをソーシャル エンジニアリングを使用して、Web ページに含まれる QR コードをスキャンしてユーザーに資格情報を提供させる手法として定義しています。 、メッセージまたは電子メール。
ユーザーがそのコードをスキャンすると、企業になりすました Web ページにリダイレクトされ、そこで機密情報が要求されます。 「ユーザーが Web アドレスを確認しない場合、簡単にだまされる可能性があることを考慮する必要があります」 とこの組織は述べています。セキュリティ会社カスペルスキーは、こうした事態を防ぐために、リンクをクリックする前にリンクを確認することを推奨しているとしている。
Qrishing を通じてデータを盗むもう 1 つの方法は、悪意のあるコードを挿入する (QR コードのリダイレクト先となる Web ページに存在するエクスプロイトを使用する) か、ダウンロードによるドライブ攻撃です。つまり、感染した Web サイトまたは偽の Web サイトにアクセスすると、悪意のあるソフトウェアがデバイスにダウンロードされ、そこからソフトウェア (オペレーティング システム、ブラウザ、またはその他の種類) からデータが盗まれる可能性があります。また、電話機にインストールされると、ボットネットへの参加 (たとえば、正規の Web サイトに対する DDOS 攻撃の実行)、機密情報の漏洩、ユーザーの知らないうちにプレミアム サービスへの加入などのアクションを実行する可能性があります。例は少ない。
QR を通じて発見されたもう 1 つのフィッシング手法は「Qrljacking またはセッション ハイジャック」と呼ばれ、QR コードで「ログイン」機能を受け入れるサービスのアカウントをソーシャル エンジニアリングを使用して乗っ取ることを特徴とする攻撃の一種です。これを行うために、彼らは被害者をだまして、以前にサイバー犯罪者によって捕捉されたオリジナルのものになりすました改変された QR コードをスキャンさせようとします。攻撃者はそれをスキャンすることで被害者のセッション認証情報を取得し、このアカウントに含まれる情報に密かにアクセスします。
QR コードを読み取るためにダウンロードしたアプリケーションでも問題が発生する可能性があることを忘れてはなりません。これは今年発生し、大きな影響を及ぼしました。 数か月前、Malwarebytes は、 Google Play ストアで最も多くインストールされているバーコード スキャン アプリケーションの1 つである「バーコード スキャナー」でトロイの木馬を検出しました (詐欺を発見した時点で、インストール数は 1,000 万件を超えていました)。
Qrishing や QR を介したフィッシングを回避するためのヒント
フィッシングや他のコンピュータ インシデントの場合と同様、罠に陥ることを回避する最善の方法は、信頼でき、よく知っている Web サイト、リンク、アプリケーションにアクセスすることです。あなたがビジネスを経営しており、サービス (製品カタログへのアクセスなど) の QR コードを提供している場合は、「使用している QR コードが第三者によって変更または改変されていないことを頻繁に確認する」こともあなたの責任です。などなど。
INCIBEはまた、企業に対し、「 QRコードの生成、サービスへの正しいリンクなどの点で十分なセキュリティ保証を提供するQRコードジェネレータまたはサービスを選択し、QRコードをスキャンする際にリンクが自動的に開くことを無効にする」ことを推奨している。このようにして、ユーザーはコードがリンクしているアドレスを確認できるようになります。
さらに、特定の交通機関、レジャー、予約エリアへのアクセスを容易にする QR コードを使用する場合は、詐欺の被害に遭う可能性があるため、ソーシャル ネットワーク上で QR コードを公開しないでください。
カスペルスキーは、一般的にユーザーに対し、不審なソースからの QR コードを決してスキャンしないこと、コードを提供するリンクにアクセスする場合は、URL が短縮されている場合には細心の注意を払うことを推奨しています。「QR コードには十分な理由がないからです」リンクを短くするためです。」コードをスキャンすると短い URL が表示される場合は、検索エンジンを使用するか、公式ストアにアクセスして、探しているものに直接アクセスするのが最善の方法です。
もう 1 つの提案は、「ポスターや看板の QR コードをスキャンする前に、コードが元の画像の上に貼り付けられていないことを確認する前に、簡単な物理的チェックを行う」というものです。