QRコードを悪用したフィッシングに引っかかると、個人情報が盗まれて金銭を奪われるおそれがある(写真:Ridofranz/ Getty Images)

決済、レストランでのオーダー、映画や飛行機のチケットなど、身の回りのさまざまなシーンで用いられるようになったQRコード。しかし、それはサイバー攻撃者にとっては格好の侵入ツールになっており、2024年に入ってから攻撃件数が急増した。被害は個人だけでなく、企業にも及びうる。その手口と対策を見ていこう。

1日に約2万件もの攻撃が発生

QRコードを用いた攻撃は、ここ1年で主流のサイバー攻撃手法となった。


東洋経済Tech×サイバーセキュリティのトップページはこちら

サイバーセキュリティのソリューションを提供する日本プルーフポイントの調査によると、全世界で2023年の1〜3月期に観測した、QRコードを悪用したメールフィッシングは1万件程度。

それが24年の同時期では175万件にまで急増した。これは、1日あたり約2万件ものQRコードを用いた攻撃が発生していることになる。


日本をターゲットにした攻撃も増えている。

なじみのあるECサイト、銀行、公共機関などから送付されるメールであっても、QRコードつきのものが送られてきた場合、注意をしたほうがいいだろう。

検知機能をすり抜ける「たちの悪さ」

QRコードを悪用した攻撃が登場する以前は、エモテット(Emotet)と呼ばれる攻撃が流行していた。

エモテットは、2020年から2023年にかけて、日本をはじめ世界中で猛威を振るった攻撃で、メールに添付されたWordやExcelなどのファイルのマクロ機能を有効にすることによって、ウイルスに感染させるものだった。

その対策として、マイクロソフトはインターネット経由でダウンロードしたファイルのマクロを初期状態では無効にする仕様に変更。これにより、ファイルを開いただけでエモテットに感染することはなくなり、攻撃に使われなくなった。

その代替手段として今、採用されている手法の1つがQRコードで、ウイルス感染や詐欺の足がかりとなっているというわけだ。では、その具体的な手口とはどういったものか。

サイバー攻撃者は正規のサイトによく似た詐欺サイトを作成し、その詐欺サイトのURLに誘導するQRコードを生成し、それをメールでターゲットに送りつける。

残念ながら、従来型のメールセキュリティシステムの場合、受信側でQRコードの画像に隠されたURLの内容は検知されない。

つまり、QRコードを使うことによって、検知機能をすり抜けることができるのだ。


また、QRコードを使う以前の攻撃では、攻撃者は「http://〜」で始まるURLをメール文面に表示させていたため、注意深い人はそのURLを確認することで、スペルミスや怪しい文字列などを見つけ、詐欺サイトだと気づくことができた。

しかし、QRコードの場合は、URLを確認できず、正しいサイトにリンクされるのかを目視で確認できない。

企業も大打撃を受ける可能性がある

現在、企業が業務アプリとして使っているマイクロソフトや、銀行、仮想通貨のウォレット(通貨の保存場所)を装った多くの偽サイトが攻撃用に用意され、そこに誘導するためのQRコードを使った詐欺メールが多く確認されている。

さらに厄介なことに、正規のサイトが多要素認証によってセキュリティを強化していたとしても、その多要素認証をも破るイービル・プロキシ(Evil Proxy)と呼ばれる攻撃サービスも合わせた形で、QRコード攻撃が行われる。

イービル・プロキシとは闇市場で提供されている攻撃者用のサービスの1つで、多要素認証を迂回するような高度な攻撃手法を、知識のない攻撃者でも数万円で使うことができてしまうのだ。

この攻撃に引っかかると、ログイン情報、個人情報、クレジットカード情報などが盗まれる。ログイン情報が盗まれることにより、攻撃者は正規アカウントを乗っ取る。

それを用いてさらに別のターゲットに対してビジネスメール詐欺(取引先や自社の経営者などになりすまし、攻撃者が指定する銀行口座へお金を振り込ませようとするもの)など、より深刻な攻撃を行うため、企業にも大きな打撃を与えかねない。

しかも、日本人の個人情報やクレジットカード情報は、闇市場において高値で取引されるため、日本人を専門に狙う攻撃者も存在する。

では、どのように対策をすればよいのか。

QRコードはメールの本文に直接貼り付けられることもあれば、メールに添付されたファイルの中に貼り付けられていることもある。また街中のポスターなどの掲示物や、店舗での決済、レストランでのオーダーなど、物理的に表示されているQRコードにも注意する必要がある。

QRコードを読み取る際、それが元のQRコードの上にシールなどで貼り付けられていないか、ほかのものと様子が違わないかを確認してほしい。攻撃者が本物のQRコードの上に、偽物を貼り付けている可能性もあるからだ。

実際に自転車のシェアリングサービスや駐車場などで、攻撃者が偽物のQRコードのシールを貼り付けて、支払った金銭を窃取する攻撃が発生している。

スマートフォンの乗っ取りに注意を

もう1つ気をつけなければならないのは、QRコードをスキャンさせるだけでスマホが乗っ取られる手口だ。

コンピューターウイルスの中には、iPhoneやアンドロイド端末から情報を収集するタイプのスパイウェアと呼ばれる高度なものがある。例えばイスラエル製のスパイウェアである「ペガサス」は、iPhoneに感染することによって、その人の位置情報、写真、通話記録、メールなどすべてを入手することができてしまう。

そのうえ、遠隔からマイクやカメラをONにすることも可能。背筋も凍る話だが、攻撃者はその携帯端末をフルコントロールできるようになるのだ。

敵を知ることで、己を守る

企業がQRコードを用いた攻撃に備えるには、QRコードにリンクされるURLを解析できるメールセキュリティシステムにアップグレードするほか、デバイス認証を導入したり、従業員に対して実際に出回っている攻撃を模した攻撃シミュレーション演習を行い、訓練したりすることが重要だ。

また個人一人ひとりも、QRコードをスキャンする際に、そのQRコードが上から貼り付けられたものではないか、印刷物自体が怪しいものではないのか、QRコードが含まれているメールの差出人が正しいのかなどを疑う必要がある。

少しでも不安に感じる場合は、QRコードを読み込むのではなく、ブラウザから検索して目的のURLにたどりつくのも1つの手だ。

QRコードに限らず、新しい攻撃手法は次々と編み出されている。サイバーセキュリティは「知る」と「知らない」とでは、対応に大きな差が出る。まずは敵を知ることが重要だ。

今、どのような攻撃手法が出回っているのかを把握することで、攻撃を見抜くヒントを得ることになり、サイバー攻撃に対する砦になりうる。

(増田 幸美 : 日本プルーフポイント チーフエバンジェリスト)