1年で175倍に！｢QRコード｣悪用の深刻な実態 お金を盗み取るだけでなく､スマホ乗っ取りも

また、QRコードを使う以前の攻撃では、攻撃者は「http://～」で始まるURLをメール文面に表示させていたため、注意深い人はそのURLを確認することで、スペルミスや怪しい文字列などを見つけ、詐欺サイトだと気づくことができた。

しかし、QRコードの場合は、URLを確認できず、正しいサイトにリンクされるのかを目視で確認できない。

企業も大打撃を受ける可能性がある

現在、企業が業務アプリとして使っているマイクロソフトや、銀行、仮想通貨のウォレット（通貨の保存場所）を装った多くの偽サイトが攻撃用に用意され、そこに誘導するためのQRコードを使った詐欺メールが多く確認されている。

さらに厄介なことに、正規のサイトが多要素認証によってセキュリティを強化していたとしても、その多要素認証をも破るイービル・プロキシ（Evil Proxy）と呼ばれる攻撃サービスも合わせた形で、QRコード攻撃が行われる。

イービル・プロキシとは闇市場で提供されている攻撃者用のサービスの1つで、多要素認証を迂回するような高度な攻撃手法を、知識のない攻撃者でも数万円で使うことができてしまうのだ。

この攻撃に引っかかると、ログイン情報、個人情報、クレジットカード情報などが盗まれる。ログイン情報が盗まれることにより、攻撃者は正規アカウントを乗っ取る。

それを用いてさらに別のターゲットに対してビジネスメール詐欺（取引先や自社の経営者などになりすまし、攻撃者が指定する銀行口座へお金を振り込ませようとするもの）など、より深刻な攻撃を行うため、企業にも大きな打撃を与えかねない。

しかも、日本人の個人情報やクレジットカード情報は、闇市場において高値で取引されるため、日本人を専門に狙う攻撃者も存在する。

では、どのように対策をすればよいのか。

QRコードはメールの本文に直接貼り付けられることもあれば、メールに添付されたファイルの中に貼り付けられていることもある。また街中のポスターなどの掲示物や、店舗での決済、レストランでのオーダーなど、物理的に表示されているQRコードにも注意する必要がある。

QRコードを読み取る際、それが元のQRコードの上にシールなどで貼り付けられていないか、ほかのものと様子が違わないかを確認してほしい。攻撃者が本物のQRコードの上に、偽物を貼り付けている可能性もあるからだ。

実際に自転車のシェアリングサービスや駐車場などで、攻撃者が偽物のQRコードのシールを貼り付けて、支払った金銭を窃取する攻撃が発生している。

スマートフォンの乗っ取りに注意を