暇な時に

僕達の新事業のQRコード読み取ってもらえませんか?って頼まれたら?QRコードホイホイ読み込んでいませんか?

使いやすくて実用的なQRコードは、サイバー犯罪にも便利に使われています。

とあるサイトで拾った記事です。
身近で起こっているんですね。
騙されて、被害に合わないようにしないといけません。

<このツイートへの反応>

怪し過ぎるわ

QRコードを読み取るだけなら、
自分たちでやればいいじゃん…

絶対ヤバいやつ

不審者として警察に通報した方がいいレベル

こんなのあるんだ。容易になんかわからないQRコードは読み込んじゃダメだね。

中目以外にもあるみたいです 何処かで見かけました 池袋か新宿だったかな…
その時はYouTubeチャンネルの登録?か何か自分の宣伝でQRコード読み込んで下さいと言ってました

たぶん大阪でもあった。外国人だったわ

あの手この手で…怖っ。

使いやすくて実用的なQRコードは、
サイバー犯罪にも便利に使われています


自分が便利に使っているものは、
相手も便利に使っているわけですから。

下記文章はkaspersky daily様のブログ記事を
要約したものです。

① QRコードとは何か、どう使われるのか

QRコードなら何でも

読み取れるアプリと、

特定の用途に限定されたQR読み取りアプリがあります。
(例えば、美術館の説明用アプリなど)

② QRコードを使ったサイバー犯罪の手口

QRコードは、単なるバーコードの進化版ですが。

人間はQRコードを読めませんし、

スキャンするとどうなるかを

スキャン前に確認することもできないので、
問題なく使えるというのは
コードを作成した人に悪意がないことが前提となります。
また、
QRコードの中にどういった要素が含まれるのか、
自作したコードであっても逐一把握はできません。
こうしたところが、悪用の余地を生んでいます。

②-1 偽のリンク

QRコードを読み込むことで、

SNSやオンラインバンキングサイトのログインページに

見せかけたフィッシングサイトが表示されるかもしれません。
▷このフィッシングサイトを本物と感違いするわけだ。

フィッシングサイトに人を誘導してログイン情報を入力させるのは
サイバー犯罪の常套手段なので、

私たちは日ごろから
リンクをタップまたはクリックしようとするときは、
必ずリンクを確認してからにする
ことを推奨しています。

ただ、メールの場合はその確認方法が使えますが、
QRコードの場合、そうはいきません。

短縮URLをQRコードにしてある場合もあり、
そうなると、
QRコードを読み取った後に表示される
Webサイトへのアクセスを促すメッセージ上では、

アクセスしようとしているWebサイトが
本物か偽物かを判別できません。

似たようなものに、何かのアプリではなく
マルウェアをダウンロードし、
ダウンロードエラーが起きたように見せかける手口もあります。

QRコードを読み込んだけれども
ダウンロードされるはずだったアプリが
エラーでダウンロードできなかった、と思わせるためです。

マルウェアがスマートフォンに入り込んでしまえば、
攻撃者としては、パスワードを盗んだり

スマートフォンに登録されている連絡先へ
悪意あるメッセージを送ったり、
何でもできる状態となります。

②-2 QRコードにエンコードされたコマンド

Webサイトへ誘導するQRコードばかりではありません。

読み込むと特定の操作を実行するQRコードもあります。

例えば、以下のような操作です。

・連絡先を追加する
・通話を開始する
・メールの下書きを作成して、受信者と件名を入力する
・テキストメッセージを送信する
・ユーザーの居場所をアプリと共有する
・SNSのアカウントを作成する
・カレンダーでイベントを作成する
・優先的に使用するWi-Fiネットワークを、
自動接続用の認証情報と一緒に追加する

共通しているのは、
一般的な操作を自動化している点です。
例えば、
QRコードをスキャンすることで、名刺から連絡先情報を追加したり、
駐車料金を支払ったり、
ゲストWi-Fiネットワークにアクセスできるようになったりします。
▷情報、ダダ洩れで、すんごく怖いです

幅広い用途に使えるということは、
相手をコントロールしやすいということでもあります。

例えば、QRコードを読み取って追加した連絡先が

「銀行」という名前で連絡帳に追加されたけれども、
これが実は詐欺師の連絡先だったとしましょう。

その詐欺師から電話がかかってきたとき、
どこかの銀行から電話が来たと思って
信用してしまうかもしれません。
また、
長距離電話をかけられてしまって
料金を支払うことになったり、
自分の居場所が知られたりする可能性もあります。

3 QRコードの偽装方法

QRコードを使用した攻撃を成功させるには、

攻撃者としては
相手にQRコードをスキャンさせなければなりません。
そのために使われる方法としては、以下があります。

③-1 偽のアプリダウンロード用Webサイト

悪意あるアプリをダウンロードさせるため、

自分たちのWebサイトへ誘導するQRコードを
広告バナーやメールに配置する方法で、

紙の広告に印刷されているパターンもあります。
信頼性を高めるため、

Google PlayやApp Storeのロゴが
QRコードの横に添えられていることがよくあります。
▷有名ロゴの周辺は本当にインチキバナーが乱立しています。


③‐2 すり替え


ポスターや展示の説明に掲載されている
本物のQRコードの上に、
偽のQRコードを貼る方法です。

ちなみに、QRコードを悪用するのは、

サイバー犯罪者ばかりではありません。
悪質な社会活動家たちが、自分たちの考えを広めようと
QRコードのすり替えを行うようになりました。

例を挙げると、新型コロナウイルス感染症(COVID-19)関連の
チェックイン用案内にあったQRコードを改竄し、
ワクチン接種反対のWebサイトに飛ぶようにしたとして、
オーストラリアで男が逮捕されています(英語記事)。

QRコードでできることはいくらでもあります。
そしてQRコードは、何かのパンフレットや看板など、
詳しい情報や説明が得られそうだと思うような場所にあります。

④ QRコードによるトラブルを避けるには

① 明らかに出所の怪しいQRコードは読み取らない。

② コードをスキャンしたときに表示されるリンクを、
注意して確認する。
URLが短縮されている場合は特に用心してください。
QRコードの場合、リンクを短縮する必要はありません

③ QRコードを読み取るのではなく、検索エンジンや公式ストアから
探しものを見つけるようにしてください。
▷私は面倒でもこの③の対策を実行しています。

④ポスターや展示案内などに付いているQRコードをスキャンする場合は、
元の画像の上に貼られたコードではないかどうか、
ざっと確認してからスキャンする。

※QRコードには、電子チケット番号など、
価値ある情報が含まれている場合もあります。
したがって、QRコードが付いた文書は
SNSに投稿しないでください

QRコードを巡る詐欺等、トラブルに関して色々ネット検索して
下記ブログに行き当たりました。

※上記文章はこの原文を要約したものです。

特にご提起されているQRコードによるトラブルを避ける対策方法は
徹底して実行していく必要があります。

kaspersky daily様ブログ原文

QRコードを悪用したサイバー犯罪

QRコードを悪用した詐欺の被害を防ぐ方法。

QRコードは、日常生活のあちこちにあります。ドリンクのラベルに付いていたり、美術館の展示に添えられていたり。用途もさまざまで、Webサイトを開くためのもの、アプリのダウンロード用、ポイント登録用、料金の支払いや送金、募金にも使われます。使いやすくて実用的なQRコードは、サイバー犯罪にも便利に使われています。今回は、QRコードを悪用した詐欺行為について、そしてQRコードを安心して使うための方法について取り上げます。

QRコードとは何か、どう使われるのか

最近は、ほぼ誰でもスマートフォンを持っています(英語記事)。最新機種の多くはQRコード読み取りアプリが初めから入っていますが、そうではない機種の場合でも、カメラ機能を使用するか、QRコードを読み取るアプリをインストールして使えば問題ありません。QRコードなら何でも読み取れるアプリと、特定の用途に限定されたQR読み取りアプリ(例えば、美術館の説明用アプリなど)があります。

QRコード読み取りアプリを開いてスマートフォンのカメラをQRコードにかざすと(または、カメラ機能を開いてかざすと)QRコードが読み込まれ、特定のWebサイトへの移動やアプリのダウンロードを促すメッセージが表示されます。しかし、こうしたメッセージを表示する以外の動作をするQRコードもあります。

専用のQRコード読み取りアプリは、特定のQRコードだけを読み取るタイプです。例えば、公園に生えている歴史的に重要な樹木の説明板に付いているQRコードがそのタイプです。その公園の公式アプリでQRコードを読み取るとガイドツアーがスタートしますが、通常のスキャナーで読み取った場合は、公園のWebサイトに掲載されている説明が表示されるだけです。

特定の情報を取得するための特別なQRコードを作成できるアプリもあります。例えば、ゲスト用Wi-Fiネットワークの名前とパスワードを読み込めるようなQRコード、お金をやり取りするためのQRコードなどを作成できます。

QRコードを使ったサイバー犯罪の手口

QRコードは、単なるバーコードの進化版です。何が問題なのかイメージしにくいかもしれませんが、実はさまざまな問題が潜在しています。

人間はQRコードを読めませんし、スキャンするとどうなるかをスキャン前に確認することもできないので、問題なく使えるというのはコードを作成した人に悪意がないことが前提となります。また、QRコードの中にどういった要素が含まれるのか、自作したコードであっても逐一把握はできません。こうしたところが、悪用の余地を生んでいます。具体的に、どう悪用される可能性があるか見ていきましょう。

偽のリンク

QRコードを読み込むことで、SNSやオンラインバンキングサイトのログインページに見せかけたフィッシングサイトが表示されるかもしれません。フィッシングサイトに人を誘導してログイン情報を入力させるのはサイバー犯罪の常套手段なので、私たちは日ごろから「リンクをタップまたはクリックしようとするときは、必ずリンクを確認してからにする」ことを推奨しています。ただ、メールの場合はその確認方法が使えますが、QRコードの場合、そうはいきません。短縮URLをQRコードにしてある場合もあり、そうなると、QRコードを読み取った後に表示されるWebサイトへのアクセスを促すメッセージ上では、アクセスしようとしているWebサイトが本物か偽物かを判別できません。

似たようなものに、何かのアプリではなくマルウェアをダウンロードし、ダウンロードエラーが起きたように見せかける手口もあります。QRコードを読み込んだけれどもダウンロードされるはずだったアプリがエラーでダウンロードできなかった、と思わせるためです。マルウェアがスマートフォンに入り込んでしまえば、攻撃者としては、パスワードを盗んだり、スマートフォンに登録されている連絡先へ悪意あるメッセージを送ったり、何でもできる状態となります。

QRコードにエンコードされたコマンド

Webサイトへ誘導するQRコードばかりではありません。読み込むと特定の操作を実行するQRコードもあります。例えば、以下のような操作です。

  • 連絡先を追加する
  • 通話を開始する
  • メールの下書きを作成して、受信者と件名を入力する
  • テキストメッセージを送信する
  • ユーザーの居場所をアプリと共有する
  • SNSのアカウントを作成する
  • カレンダーでイベントを作成する
  • 優先的に使用するWi-Fiネットワークを、自動接続用の認証情報と一緒に追加する

共通しているのは、一般的な操作を自動化している点です。例えば、QRコードをスキャンすることで、名刺から連絡先情報を追加したり、駐車料金を支払ったり、ゲストWi-Fiネットワークにアクセスできるようになったりします。

幅広い用途に使えるということは、相手をコントロールしやすいということでもあります。例えば、QRコードを読み取って追加した連絡先が「銀行」という名前で連絡帳に追加されたけれども、これが実は詐欺師の連絡先だったとしましょう。その詐欺師から電話がかかってきたとき、どこかの銀行から電話が来たと思って信用してしまうかもしれません。また、長距離電話をかけられてしまって料金を支払うことになったり、自分の居場所が知られたりする可能性もあります。

QRコードの偽装方法

QRコードを使用した攻撃を成功させるには、攻撃者としては相手にQRコードをスキャンさせなければなりません。そのために使われる方法としては、以下があります。

偽のアプリダウンロード用Webサイト:悪意あるアプリをダウンロードさせるため、自分たちのWebサイトへ誘導するQRコードを広告バナーやメールに配置する方法で、紙の広告に印刷されているパターンもあります。信頼性を高めるため、Google PlayやApp StoreのロゴがQRコードの横に添えられていることがよくあります。

すり替え:ポスターや展示の説明に掲載されている本物のQRコードの上に、偽のQRコードを貼る方法です。

ちなみに、QRコードを悪用するのは、サイバー犯罪者ばかりではありません。悪質な社会活動家たちが、自分たちの考えを広めようとQRコードのすり替えを行うようになりました。例を挙げると、新型コロナウイルス感染症(COVID-19)関連のチェックイン用案内にあったQRコードを改竄し、ワクチン接種反対のWebサイトに飛ぶようにしたとして、オーストラリアで男が逮捕されています(英語記事)。

繰り返しになりますが、QRコードでできることはいくらでもあります。そしてQRコードは、何かのパンフレットや看板など、詳しい情報や説明が得られそうだと思うような場所にあります。

QRコードによるトラブルを避けるには

QRコードを使用する場合は、以下の点に注意することをお勧めします。

  • 明らかに出所の怪しいQRコードは読み取らない。
  • コードをスキャンしたときに表示されるリンクを、注意して確認する。URLが短縮されている場合は特に用心してください。QRコードの場合、リンクを短縮する必要はありません。QRコードを読み取るのではなく、検索エンジンや公式ストアから探しものを見つけるようにしてください。
  • ポスターや展示案内などに付いているQRコードをスキャンする場合は、元の画像の上に貼られたコードではないかどうか、ざっと確認してからスキャンする。

QRコードには、電子チケット番号など、価値ある情報が含まれている場合もあります。したがって、QRコードが付いた文書はSNSに投稿しないでください