【KOREA WAVE】ある韓国男性が急いで移動しようとしていた。ちょうど道端に置いてあったキックボードシェアを見つけた。喜んでキックボードのQRコードを携帯電話でスキャンして、案内に従ってアプリをインストールし、決済情報を登録した。5分ほど利用した後、決済内訳を確認すると、男性は驚くほかなかった。なんと数十万ウォン(1ウォン=約0.11円)も引き出されたからだ。
QRコードとフィッシングの合成語である「Qシング」。悪性あるコードが仕込まれた偽のQRコードを利用して、ユーザーが悪意あるプログラムをインストールするように誘導する方法を意味する。最近開催された「情報保護の月」イベントでも、対国民サイバー脅威予防イベントでこの問題が紹介された。
SKシェルダースホワイトハッカー集団「EQST」によると、このようなQシングは昨年、韓国におけるサイバー脅威の約17%を占めたことが明らかになった。国外でも14%を占めている。
シェアモビリティ、飲食店の注文、オフラインイベント・苦情案内などでQRコードが活発に使われる点を悪用している。
警察庁によると、手口は大きく分けて▽オンラインで偽のQRコードを流布する▽既に印刷されているQRコードの上に、ステッカーで偽のQRコードを貼る――の二つ。
ユーザーがQRをスキャンすれば、悪意あるアプリをダウンロードするURLが出てくる。普通のスミッシングとは違って、不可解な説明文も表示されないため、ユーザーは容易に騙されてしまう。
さらに悪意あるアプリが要求する通りにデバイスの権限を付与したり、個人情報や金融情報を入力したりすれば金銭的被害などが発生することになる。攻撃者が遠隔でモバイル機器に接続したり、動作したりすることも可能になる。
韓国インターネット振興院スミッシング対応チーム長のキム・ウンソン氏は「オンライン・メールなどで流布される悪意あるアプリのURLは当局で追跡・遮断することが比較的容易だが、オフラインのQRコードはそうではない。攻撃者が一度インストールすれば、その後、市民に拡散し続けるだろう。モビリティシェアのように移動する物体ならば追跡することも難しい」と懸念する。
今のところ、ユーザーが注意するのが唯一の対応手段だ。
警察庁やKISAなどは、出所が不明だったり、公共の場所に置かれたりしたQRコードは慎重に見極めるべきだと強調する。またスキャン時につながるリンクを注意深く調べる一方、アプリにむやみに個人情報などを入力してはならないとしている。
(c)news1/KOREA WAVE/AFPBB News