タピオカミルクティーを飲む女性

写真拡大 (全4枚)

■空港の防犯カメラがとらえたチケット泥棒

QRコードを使った詐欺行為が世界各地で横行している。偽のコードを読み込ませたり、他人のQRコードを盗み取ったりする手口で、海外では200万円を超える預金を失う被害が出た。

写真=iStock.com/insjoy
※写真はイメージです - 写真=iStock.com/insjoy

米CNNの記事によると、3月17日、米ユタ州のソルトレイク国際空港で26歳の男がチケットを持たずにデルタ航空便(テキサス州オースティン行き)に搭乗し、逮捕された。男は他人のチケットに記載されたQRコードをスマホで撮影し、その写真を搭乗ゲートにかざす手口で不正に搭乗したという。

米ABCニュース・ロサンゼルス局は、犯行の瞬間をとらえた防犯カメラの映像を報じた。空港ロビーのベンチに掛けた男が立ち上がりざま、上体をやや背後に反らし、左隣に座っていた男性の背後を取る。男は被害男性の肩越しに、このチケットをスマホで撮影した。大胆にも去り際、被害男性を含む周囲の男性と笑顔で握手し、何事もなかったかのように搭乗ゲートへ向かった。

ニューヨーク・タイムズ紙の3月20日の報道によると、男は機内前後にある化粧室に身を隠していたが、離陸直前に客室乗務員と遭遇。旅客機は搭乗ゲートへ引き返した。家族に会うため家に帰りたかった、と男は述べたという。

■イベント会場で、電車の中で…被害は日本でも起こりうる

この一件はQRコードについて、容易に写し取られてしまう性質を浮き彫りにした。原理的に複写可能であることは多くの人が漠然と予期していただろうが、実際に飛行機にまで乗れてしまう事件は衝撃的だ。

QRコードは1994年の登場から徐々に普及し、社会を便利にした。長いURLを手入力する必要はずいぶんと減ったし、イベントや施設の入場も紙チケットを持たずに、QRコードを会場ゲートでスキャンするだけで済む。しかし、単なる画像であるため、写真を撮影すればかんたんにコピーできてしまう。

飛行機の事件はアメリカの事例だが、用心すべきなのは日本国内も同じと言えるだろう。例えばイベント会場に向かう電車の中で、QRコードの表示された入場案内メールなどを読み返していると、肩越しに背後から他人に撮影されるおそれがある。近年、スカイツリー、ディズニーランド、イマーシブ・フォート東京、チームラボ、渋谷スカイなど、多くの人気施設がQRコードでの入場に対応している。

万一他人にQRコードを撮影されると、先に入場されてしまった時点で、手持ちのコードは無効になる。お金を払ったのに入場ができず、当日券が売り切れていれば諦めて自宅に帰るしかない。管理には十分注意したい。

タピオカを買いに行ったら230万円が消えた

ドリンクを買いに行っただけで230万円をだまし取られた事件も起きている。

シンガポール日刊紙のストレーツ・タイムズの記事によると、シンガポールのタピオカティー専門店を訪れた60歳女性は、店に貼られた「アンケートで1杯無料」のステッカーに惹かれ、印字されていたQRコードをスキャン。アプリをスマートフォンにダウンロードした。

写真=iStock.com/Nuttawan Jayawan
※写真はイメージです - 写真=iStock.com/Nuttawan Jayawan

ところがこのアプリは、アンケート機能を装ったマルウェア(悪意あるソフト)だった。その晩寝ていると、スマホの通知が光った。スマホが乗っ取られ、銀行口座から2万シンガポールドル(5月2日時点のレートで約230万円)が消えていた。

週2回ほどタピオカティーを買うという大学生は、ストレーツ・タイムズ紙に対し、「タピオカティーはよく飲むので、このような詐欺があると聞くと怖いです。正規のQRコードの近くに貼られていたら、見分けるのはかなり難しそうですね」と語る。

■本物か、偽物か…見た目で判断することは難しい

シンガポールのOCBC銀行グループで詐欺対策責任者を務めるビーバー・チュア氏は、同紙の取材に、飲食店のそばに悪意あるQRコードを貼っておくのは「狡猾な」手口だと述べる。QRコードは、本物かどうかを見た目で判断することが難しく、店頭に貼られてしまうと非常に見抜きにくい、とチュア氏は指摘する。

店側も油断できない。英銀行グループのサンタンデールは、「反転QRコードを用いた詐欺も流行している」と注意喚起している。悪意あるユーザーが店を訪れ、支払い用のQRコードをレジ係にスキャンさせるが、このコードは事前に作成した不正なコードとなっている。店がコードをスキャンしてしまうと、所定の操作を経て、店側から利用者に対して送金処理が行われるようになっているという。

■254万円をだまし取られた71歳の女性

イギリスでは、駐車場の料金支払いのQRコードが上書きされ、不正なサイトでの支払いに誘導される事件が複数起きている。

写真=iStock.com/undefined undefined
※写真はイメージです - 写真=iStock.com/undefined undefined

英BBCは昨年11月、71歳女性が駐車料金をQRコードで支払おうとして、1万3000ポンド(約254万円)をだまし取られたと報じている。

昨年8月、イギリス北東部・ソーナビー駅の駐車場を利用した女性は、駐車場に貼られていたQRコードをスキャンした。だが、このコードは偽物で、本物のコードに重ねて貼られたものだった模様だ。その後、詐欺師から、銀行員を装った電話がかかってきたという。

女性はBBCに「電話の男性はとても説得力がありましたし、私が知っている口座取引にも言及し、安心感を与えました」と語っている。

「ですが、私がそうして電話している間にも、彼は私の口座にログインし、20分で(私を装って銀行から)融資を受けていたのです」

■まるでオレオレ詐欺

この件で使われた手口は、正規の銀行員を装って本人認証に必要な情報を聞き出す、ソーシャルエンジニアリングの一種とみられる。手口の詳細は報道で明かされていないが、過去の取引情報をあらかじめある程度知っていたことから、マルウェアをダウンロードさせられスマホが乗っ取られた可能性が考えられる。

幸いにも、女性は被害額全額を銀行から補償された。「眠れない夜を何度も過ごし、銀行やカード会社に何時間も何時間も相談しました」「QRコードを使うのは初めてでしたが、もう二度と使いません」と女性は胸中を吐露する。

駐車場を運営する鉄道会社・トランスペナイン・エクスプレスは昨年9月、すべての駅の駐車場からQRコードを撤去した。

■自宅にいても安心はできない

BBCによると、ロンドン市警察が運営する政府の詐欺通報センターには、3年間で約1200件のQRコード詐欺の報告が寄せられた。同センターによると、イギリスのQRコード被害は増加傾向にある。2020年の112件に対し、2023年は9月までに400件以上が報告されているという。

危険なQRコードは、家庭内にも忍び寄る。自宅で映画を楽しんでいたアメリカの男性が、巨額を失った。交通事故に遭い手術を受け、やっと自宅で身体を休められると思った矢先のことだった。

米フォックス・ニュースのマイアミ局によると、Amazon Primeを自宅で楽しんでいたところ、TVが故障。表示されたQRコードを読み取って“サービス窓口”に電話をかけて必要な情報を申告すると、しばらくして口座から5000ドル(約78万円)が消えた。入院中に自宅に侵入するなどの手口でAmazon Primeの再生デバイスをハッキングし、不正なQRコードを表示させ、偽の窓口へ誘導したとみられる。

始終身につけているスマホを直接ハッキングするよりは容易との思惑だろうか。公共の場に貼られているステッカーだけでなく、画面上のQRコードも正しいとは限らない。

■不用意に読み取っても、見せてもいけない

より安全に利用するため、QRコードを読み取る際に注意できる点がある。サンタンデールは、いくつかの重要なポイントを挙げる。

第1に、公共の場やレストランのメニューなどのQRコードを読み取る際には、QRコードの印字部分がシールになっていないか確認する。シールの場合、本来のQRコードの上から第三者が重ね張りした、悪意あるコードのおそれがある。

第2に、ウイルス対策ソフトをインストールし、危険なURLにアクセスしようとした際に警告が出るようにする。初期状態でスマホにインストールされているSafariとChromeにも、同様の機能がある。ほか、アクセス先のサイトで個人情報の入力を求められた際には一度冷静になって考えるなど、QRコードで表示されたサイトが偽サイトである前提に立って行動したい。

なお、セキュリティ会社・カペルスキーのイェオ・シャン・ティオン氏は、ストレーツ・タイムズ紙に対し、QRコードによるマルウェア被害はAndroid端末で目立つと指摘する一方、アプリ審査の厳しいiOSでも「静かに増加している」と警鐘を鳴らす。

QRコード詐欺事件の入り口になっている

セキュリティ・ニュースサイトのSCメディアは、電子メールで届いたQRコードにも注意を払うよう促している。この種の詐欺の89%に、心理的圧力をかけてターゲットの判断力を奪う「クレデンシャル・フィッシング」の手口が使われているという。

著名企業や宅配業者などの信頼できる差出人を名乗り、すぐに対応が必要などと緊急性の高い文面でプレッシャーを与え、QRコードを読み取らせる手口だ。

写真=iStock.com/yanguolin
※写真はイメージです - 写真=iStock.com/yanguolin

例えばこうして誘導されたサイトで、パスワードあるいは住所・氏名などを入力すると、それがそのまま盗まれる。会社で使っているIDやパスワードを入力した場合、それを突破口として組織全体のシステムが危険にさらされるおそれもある。「至急連絡を」などと急かされたときほど、一段と疑いの目を持ちたい。

同メディアは、QRコード自体にはメール本文のような長文の情報が含まれておらず、読み取りもパソコンでなく主にスマホで行われることなどから、従来のフィッシング詐欺よりもセキュリティソフトによる検知が難しくなっていると指摘する。

QRコードは他人に見せない、不用意に読み取らない、を鉄則として、大切な個人情報や資産を守りたい。

----------
青葉 やまと(あおば・やまと)
フリーライター・翻訳者
1982年生まれ。関西学院大学を卒業後、都内IT企業でエンジニアとして活動。6年間の業界経験ののち、2010年から文筆業に転身。技術知識を生かした技術翻訳ほか、IT・国際情勢などニュース記事の執筆を手がける。ウェブサイト『ニューズウィーク日本版』などで執筆中。
----------

(フリーライター・翻訳者 青葉 やまと)