1年で175倍に！｢QRコード｣悪用の深刻な実態 お金を盗み取るだけでなく､スマホ乗っ取りも

QRコードを悪用したフィッシングに引っかかると、個人情報が盗まれて金銭を奪われるおそれがある（写真：Ridofranz/ Getty Images）

決済、レストランでのオーダー、映画や飛行機のチケットなど、身の回りのさまざまなシーンで用いられるようになったQRコード。しかし、それはサイバー攻撃者にとっては格好の侵入ツールになっており、2024年に入ってから攻撃件数が急増した。被害は個人だけでなく、企業にも及びうる。その手口と対策を見ていこう。

【図で見る】「QRコード」を悪用したメールフィッシングに引っかかるとどうなるのか？

1日に約2万件もの攻撃が発生

QRコードを用いた攻撃は、ここ1年で主流のサイバー攻撃手法となった。

サイバーセキュリティのソリューションを提供する日本プルーフポイントの調査によると、全世界で2023年の1〜3月期に観測した、QRコードを悪用したメールフィッシングは1万件程度。

それが24年の同時期では175万件にまで急増した。これは、1日あたり約2万件ものQRコードを用いた攻撃が発生していることになる。

日本をターゲットにした攻撃も増えている。

なじみのあるECサイト、銀行、公共機関などから送付されるメールであっても、QRコードつきのものが送られてきた場合、注意をしたほうがいいだろう。

検知機能をすり抜ける「たちの悪さ」

QRコードを悪用した攻撃が登場する以前は、エモテット（Emotet）と呼ばれる攻撃が流行していた。

エモテットは、2020年から2023年にかけて、日本をはじめ世界中で猛威を振るった攻撃で、メールに添付されたWordやExcelなどのファイルのマクロ機能を有効にすることによって、ウイルスに感染させるものだった。

その対策として、マイクロソフトはインターネット経由でダウンロードしたファイルのマクロを初期状態では無効にする仕様に変更。これにより、ファイルを開いただけでエモテットに感染することはなくなり、攻撃に使われなくなった。

その代替手段として今、採用されている手法の1つがQRコードで、ウイルス感染や詐欺の足がかりとなっているというわけだ。では、その具体的な手口とはどういったものか。

サイバー攻撃者は正規のサイトによく似た詐欺サイトを作成し、その詐欺サイトのURLに誘導するQRコードを生成し、それをメールでターゲットに送りつける。

残念ながら、従来型のメールセキュリティシステムの場合、受信側でQRコードの画像に隠されたURLの内容は検知されない。

つまり、QRコードを使うことによって、検知機能をすり抜けることができるのだ。