第52回 QRコードも詐欺の材料に!
「前回も取り上げましたように、フィッシング詐欺が大きな問題になっています。フィッシング詐欺とは、多くの人が日ごろ使っているECサイトやクレジットカード会社、あるいはネット銀行に成りすまして、偽のサイトに誘導し、IDやパスワード等の個人情報を収集し、その収集した個人情報を利用して悪事を働くことです。典型的な悪事として、その個人情報を利用して、ECサイトで商品を購入したり、クレジットカードを不正に利用したりすることです。
スマートフォンでのメール、SNS、あるいはSMSを使って、気を引くメッセージを送り、そのメッセージに従って、偽のサイトに誘導され、IDやパスワードを入力させ、それを搾取するのです。「細心の注意をしているので騙されることはない!」と多数の人が思っていることでしょう。そういう人ほど騙されるのです。詐欺というものは人の平常心を失わせて、その隙に付け込んで騙すことなのです。平常心を失わせる方法は多々あります。例えば、「今、〇〇で10万円の商品を購入しました」というようなメッセージが届き、確認してくださいと書いて、相手を慌てさせ、そこに書いている偽のサイトに誘導する手法です。不安という非平常心に付け込む手法です。
逆に「過日、ネットで購入した宝くじに当選しました」というような欲という非平常心に付け込む手法も有ります。
これらのメッセージによって気を引いた上で偽のサイトに誘導するわけですが、ほとんどの場合、偽サイトのURLが直接記載、あるいはリンクが張られており、それをタップさせることで偽のサイトに誘導します。平常心を失っている状態であれば、URLを確認することもなく、相手の指示通り、IDやパスワード、クレジット番号やその有効期限、セキュリティコードまで入力してしまうのです。
一番の対策としてはそのようなメッセージに冷静に対処し、不正なサイトにアクセスしない、万が一アクセスしたとしても個人情報を入力しないことですが、それは容易ではないでしょう。詐欺をはたらく者はあらゆる手を駆使して、平常心を無くそうとするからです。それが詐欺なのですから。
以前から危惧されていたものの、最近になって多発しているのがQRコードを利用したフィッシング詐欺です。QRコードの利用が一般化するにつれて、スマートフォンでのQRコードの扱いが馴染み深く、容易になるにつれて、その不正利用が現実化してきています。海外では、ここ数年、フィッシング詐欺だけではなく、様々な詐欺に使われだし、米国のFBIが警鐘を鳴らしています。 特に最近のフィッシング攻撃ではQRコードの利用が一般化しています。フィッシングにQRコードが用いられることになった理由はQRコードを復号しない限り、メッセージの内容が分からず、誘導するURLもわからないことが理由です。今のところ、メッセージへ直接的に書かれた文章の内容やURLについては解析を行い、それが悪意を伴う内容、つまりフィッシング詐欺に関連するか否かの判定は可能ですが、画像として取り込まれたQRコードを切り出し、復号することまで行っていないからです。
国内に関して、被害事例はほとんどありませんが、ランサムウェアや最近ではSIMスワップ詐欺同様、詐欺や不正アクセスの手法の類は海外での流行の数年後には日本でも流行する傾向があるようです。広くは知られていないようですが、QRコードはURLの短縮コードのように、単にURLを黒白のまだら模様、タイル模様に変換するだけではありません。複雑な構造を有しており、特に素早く正確に読み取るために、数論に基づく高等数学や射影変換等の画像処理技術を用いており、その複雑さゆえに、それを悪用することによって様々な悪事を引き起こす可能性があるということです。スマートフォンのカメラによってQRコードを容易に読み込むことができ、またスマートフォンのディスプレイに表示されたQRコードも読み込みが可能です。QRコード決済も一般化し、QRコードを安易に扱うことによってフィッシング詐欺をはじめ、様々な悪事の被害に遭わないように対策を講じるべき時期に来ています。
例えば、次の画像をスマートフォンのカメラにかざしてみてください。そのカメラにQRコードを読み取る機能が付属していれば、QRコードを認識するはずです。人間の目にはとてもQRコードとは思えない画像ですが、カメラにはQRコードと認識してしまうのです。何気なく取った風景にこのような画像が写り込めば、QRコードと認識し、フィッシングサイトに飛ばされることもあり得ます。