QR コードの時代において、サイバー犯罪者は「キッシング」と呼ばれる手口を使って個人を騙し、悪質な Web サイトに誘導します。この詐欺、QR コード フィッシングのさまざまな形式、そしてそのような攻撃から身を守る方法について詳しくは、以下をお読みください。
クイッシングとは何ですか?
クイッシングは、QR コードを使用して個人を騙し、悪意のある Web サイトにアクセスさせたり、機密情報を開示させたりするためのサイバー攻撃の一種です。この攻撃は、QR コードに関連する信頼性と利便性を悪用して被害者を騙します。クイッシングは、QR コード フィッシング、QR コード スプーフィング、または QRishing とも呼ばれます。
QR コード フィッシング攻撃はどのように機能しますか?
典型的なクイッシングまたは QR コード フィッシング攻撃には、次の 5 つの主要な段階があります。
- 配布: 攻撃者は不正な QR コードを作成し、チラシ、ポスター、ラベルに印刷したり、電子メール、SMS、ソーシャル メディアを介してデジタル的に共有するなど、さまざまな手段で配布します。
- 詐欺: 不正な QR コードは通常、正当なものに見えるように設計されており、潜在的な被害者を誘惑するために魅力的なオファー、割引、またはサービスを約束する場合があります。
- スキャン: 被害者は QR コードを見つけ、QR コード リーダー アプリを搭載したモバイル デバイスを使用して QR コードをスキャンします。
- リダイレクト: QR コードをスキャンすると、被害者のデバイスは攻撃者の管理下にある悪意のある Web サイトに誘導されます。この Web サイトは通常、信頼できるサイトやよく知られているサイトを模倣しています。
- データ盗難:偽の Web サイトは、正当な情報源を装って提供された情報を要求し、被害者にログイン資格情報、個人情報、財務情報などの機密情報を入力するように促すことがあります。
クイッシング攻撃の種類
QR フィッシング攻撃、または QRishing にはさまざまな形があり、攻撃者はさまざまな戦術を使用して被害者を欺きます。以下に例をいくつか挙げます。
- 偽の製品割引: 攻撃者は、人気のある製品やサービスに大幅な割引を約束する QR コードを配布します。QR コードをスキャンすると、ユーザーは偽の Web サイトにリダイレクトされ、個人情報や支払いの詳細を入力するよう求められます。約束された割引は決して実現されません。
- 偽のイベント チケット: 詐欺師は、存在しないイベントや所有していないチケットの QR コードを作成します。何も知らない被害者は、チケットを購入していると信じてコードをスキャンしますが、結局はお金が失われ、個人データが盗まれます。
- 求人詐欺: 攻撃者は、求人応募用の QR コードを含む偽の求人情報を電子メールまたはソーシャル メディア経由で送信する可能性があります。コードをスキャンすると、ユーザーは個人情報や金融情報を要求するフィッシング ページに移動します。
- 銀行および金融詐欺: 攻撃者は、ユーザーの銀行からのものであるように見える QR コードを送信し、重要なアカウント情報にリンクしていると主張する場合があります。コードをスキャンすると、ログイン認証情報や金融情報を盗むために設計された偽の銀行ウェブサイトにユーザーがリダイレクトされます。
- 暗号通貨詐欺:詐欺師は偽の QR コードを作成し、電子メール、ソーシャル メディア、さらには物理的なステッカーなど、さまざまなチャネルを通じて配布します。疑いを持たない被害者は、合法的な暗号通貨取引を開始していると信じてこれらのコードをスキャンしますが、実際には、資金を詐欺師のウォレットに送金してしまいます。
- 慈善寄付詐欺: 詐欺師は慈善寄付用であると主張する QR コードを配布します。コードをスキャンすると、ユーザーは不正な寄付ページに誘導され、支払いの詳細が取得されます。
- 荷物配送詐欺: 詐欺師は、荷物配送の追跡情報であると主張する QR コードを電子メールまたはテキストで送信します。受信者がコードをスキャンすると、個人情報を要求したりマルウェアを配信したりする偽の Web サイトにリダイレクトされます。
- COVID-19 詐欺: COVID-19 パンデミックの間、詐欺師はフィッシング攻撃に QR コードを使用しました。彼らは電子メールやメッセージでQRコードを送りつけ、COVID-19ワクチンや安全ガイドラインに関する情報にリンクしていると主張した。QR コードをスキャンすると、個人情報を要求したりマルウェアを拡散したりする詐欺 Web サイトにつながる可能性があります。
- レストランとメニュー詐欺: COVID-19 パンデミック中およびパンデミック後に QR コードの使用が増加した後、攻撃者は偽のレストラン メニューに QR コードを配布しました。これらのコードをスキャンすると、マルウェアをインストールしたり個人情報を盗んだりしようとする悪意のある Web サイトにリダイレクトされます。
これらは QR フィッシング攻撃のほんの一例です。QR コードは便利なツールですが、サイバー犯罪者がこれを悪用して個人を騙し、機密情報を漏らさせたり、さまざまな詐欺の被害に遭わせたりする可能性があります。QR コードをスキャンする際、特に未確認または一方的なソースから受信した QR コードをスキャンする際は注意し、何らかのアクションを起こす前にその正当性を確認することが重要です。
クイッシング詐欺の実例
中国の攻撃は銀行口座を標的に
2022年、中国でQRフィッシング詐欺が発生し、詐欺師が中国財務省になりすましました。彼らは偽のメールを送信し、ユーザーを誘惑して新たな政府補助金を申請できると信じ込ませた。この策略では、WeChatのようなモバイルメッセージングおよび決済アプリを使用して、添付文書に埋め込まれたQRコードをスキャンするようユーザーに促すというものだった。ハッカーが QR コードを選択することが多いのは、技術的なセキュリティ対策では検出が難しいためです。さらに、このような操作に通常使用されるモバイル デバイスは、コンピューターよりも安全性が低い場合があります。コードをスキャンすると、ユーザーはウェブページに誘導され、クレジットカードや銀行口座に関する詳細な情報を入力するよう求められました。
米国の有料駐車キオスクと駐車違反切符詐欺
テキサス州の事件では、サイバー犯罪者が駐車料金支払いキオスクに偽造QRコードステッカーを貼り付け、ドライバーに駐車料金の支払いに使えると信じ込ませた。これらのコードをスキャンすると、ドライバーは不正なウェブサイトに誘導され、クレジットカード情報を入力し、意図せず機密データをハッカーに漏らしてしまうことになります。同様の事件が2022年2月にアトランタで発生し、ドライバーが罰金支払い用と称して自分の車にQRコード付きの偽の駐車違反切符が貼られているのを発見した。この問題が発覚した後、地元当局はアトランタでは駐車違反切符にQRコードを採用していないと警告した。
QRLJackingとは何ですか?
クイッシングに関連する概念は QRLJacking です。クイック レスポンス ログイン (QRL) は、Web サイト、アプリ、またはデジタル サービスにログインするために QR コードを使用する認証方法です。ユーザーはスマートフォンでログイン画面の QR コードをスキャンし、直接アクセスを許可するか、多要素設定の二次認証を開始します。
ただし、ハッカーは次のように QRL を悪用する可能性があります。
- 対象の Web サイトまたはアプリでクライアント側の QR セッションを開始します。
- 彼らは正規の QR コードを複製し、それを自分たちのサーバーにリダイレクトします。
- 彼らは、この操作された QR コードを、元のログイン ページに似せた偽のログイン ページに埋め込みます。
- 偽のログイン ページ リンクは電子メールまたはその他のチャネルを通じて配布され、ユーザーにクリックして QR コードをスキャンするよう促します。
- 多要素認証がアクティブでない場合、QR コードをスキャンすると攻撃者にアクセスが許可されます。
クイッシング攻撃の兆候 – 注目すべき点
QR フィッシングは、疑わしくない拡張子を持つ電子メールや添付文書に QR コードを隠すため、マルウェア検出機能や電子メール フィルターを回避することがよくあります。この不明瞭さが感情操作やソーシャルエンジニアリングと組み合わさって、被害者は詐欺目的で悪意のある QR コードをスキャンするようになります。QR フィッシングの次の兆候に注意してください。
- 異常なソース:予期しないソースや一方的なソース、特に不明な送信者からの電子メールやメッセージから QR コードを受け取った場合は注意してください。
- ドメインの不一致: QR コードが、本来表すドメインまたは Web サイトとは異なるドメインまたは Web サイトにリダイレクトされるかどうかを確認します。これはフィッシングの兆候である可能性があります。
- 文法とスペル:添付メッセージや指示の文法やスペルが間違っている場合、フィッシングの試みを示している可能性があります。
- 緊急のリクエスト:脅迫や報酬の約束など、即時の対応を求める緊急のリクエストが添付された QR コードには注意してください。
- 複数の認証手順:本物の QR コード ログインには通常、1 回限りのスキャンが含まれます。追加の情報や手順を要求された場合は、フィッシング詐欺の可能性があります。
- 過度に個人的な情報:社会保障番号や広範な財務詳細など、非常に個人的な情報を要求された場合は、警戒すべきです。
- 異常な権限: QR コードをスキャンした後にモバイル アプリに広範な権限を付与するように求められた場合は、注意してさらに調査してください。
QR フィッシングの手口は多様であるため、このような詐欺の被害に遭わないためには警戒と注意が不可欠です。
クイッシングから身を守る方法
QR フィッシング攻撃から身を守るには、次のガイドラインに従ってください。
- ソース検証:特に不明な送信者からの QR コードの場合には、スキャンする前に必ず QR コードのソースを確認してください。
- 迷惑な QR コードには注意してください:電子メール、テキスト メッセージ、または物理的な資料で迷惑な QR コードに遭遇した場合は注意してください。
- スペルや文法の間違いがないか確認する:詐欺的なコミュニケーションでよくあるスペルや文法の間違いがないか、販促資料を精査します。
- 宛先 URL を調べる:スキャンする前に、宛先 URL が予想されるソースと一致しており、疑わしい要素やスペルミスがなく、正当であることを確認します。
- ランディング ページを検査する:スキャンした後、ランディング ページのコンテンツとデザインを注意深く検査します。正当なページはプロフェッショナルでエラーがないように見える可能性が高くなります。
- 即時の情報要求に注意してください:ランディング ページでログイン資格情報や支払い詳細などの機密情報がすぐに要求される場合は注意してください。正当なサービスでは通常、これを事前に要求しません。
- 特別オファーや割引を確認する: QR コードで約束されているオファーを公式 Web サイトまたは会社自体で独自に確認します。何か疑わしいことや話が良すぎると思われる場合は、自分の直感を信じて QR コードをスキャンしないでください。
- HTTPS を探す:リダイレクトされた Web サイトで安全な接続 (HTTPS) を確認します。S は「secure」の略で、Web サイトに最新のセキュリティ証明書があることを示します。
- 2 要素認証 (FA) を使用する:資格情報が侵害された場合に備えて、オンライン アカウントで FA を有効にしてセキュリティをさらに強化します。
- 疑わしいアクティビティを報告する:疑わしい QR フィッシング攻撃を関係当局、組織の IT 部門、または電子メール サービス プロバイダーに報告します。
- 自分自身と他の人を教育する:サイバーセキュリティのニュースと脅威に関する最新情報を常に把握し、潜在的なリスクを認識します。QR フィッシングやその他のオンラインの脅威に関する知識を友人や家族と共有し、オンライン セキュリティを総合的に強化しましょう。
- 最新の状態を維持する:モバイル デバイスのオペレーティング システムとアプリが最新のセキュリティ パッチで定期的に更新され、このような攻撃の被害に遭うリスクが軽減されるようにしてください。
- セキュリティ ソフトウェアをインストールする:悪意のある Web サイトをブロックし、さまざまなオンラインの脅威から防御するカスペルスキー プレミアムなどの最新のセキュリティ ソフトウェアを使用してデバイスを保護します。カスペルスキー プレミアム には、インターネット接続の安全性を高めるためのプライバシー強化のための無制限の VPN と、強力で固有のパスワードを生成して保存するパスワード マネージャーが付属しています。
これらのヒントに従い、警戒を怠らなければ、QR フィッシング攻撃やその他のオンライン詐欺の被害に遭うリスクを大幅に減らすことができます。QR コードの使用が普及している今日のデジタル世界では、オンライン セキュリティを優先することが不可欠です。
キッシングとQRコードフィッシング攻撃に関するよくある質問
キッシングとは何ですか?
クイッシングとは、サイバー犯罪者が QR コードを使用して個人を偽の Web サイトに誘導し、個人情報や金融情報を提供させたり、悪質なコンテンツをダウンロードさせたりすることです。クイッシングは、QR コード フィッシング、QR コード スプーフィング、または QRishing とも呼ばれます。
関連製品
- カスペルスキー プレミアムアンチウイルス ソフトウェア
- カスペルスキー プレミアムアンチウイルス - 30日間無料試用版をダウンロード
- カスペルスキー VPN セキュアコネクション
- パスワードマネージャー
関連記事
