KNOWLEDGE - COLUMN ナレッジ - コラム

QRコードに潜むセキュリティリスクとは

コラムイメージ

関連するソリューション

サイバーセキュリティ

ID-Ashura/セキュリティサービス


株式会社IDデータセンターマネジメント
テクニカルスペシャリスト 水谷 知彦水谷写真

IDデータセンターマネジメント所属テクニカルスペシャリスト水谷です。
今回のコラムでは、QRコードを利用した犯罪について、触れていきたいと思います。

生活・ビジネスシーンに急速に広がるQRコード

会社にあるドリンクの自動販売機は電子マネーに対応しており、私の様に自動販売機の前で財布の中から小銭を探している人を最近はあまり見かけません。スマートフォン(スマホ)を利用して電子マネーで支払いを行う方が、分厚い財布を持ち出す必要も、小銭を探す手間もないため、現金支払いにこだわりが無い限り大変便利です。一般のお店でも電子マネーの支払いに対応しているお店がほとんどで、支払い時間の短縮、釣銭間違いの防止、非接触による感染症対策など多くのメリットから、今後現金による支払いが以前の様に主流になることはないと考えられます。
 
電子マネーの支払いに欠かせないスマホですが、電子マネーの利用以外にも多くのサービスで利用されています。交通機関や商業施設、イベントで利用する電子チケット、商品や施設の情報表示、飲食店での注文など数多くのサービスがあります。個人的に最近特に増えてきたと感じるのは、飲食店でのスマホを利用した注文になります。お店に掲示されているQRコードをスマホで読み込んで、スマホに表示されたメニューから直接注文を行うといったものになります。新型コロナウィルス感染症の影響もあり、人同士の接触を少なくする、労働力を確保できない問題などから、このQRコードをスマホで読み込んで直接注文するスタイルが急速に広がってきているのだと考えられます。
 
飲食店のサービスで利用されているQRコードは、電子決済や電子チケットなどのサービスでも利用されており、スマホを利用したサービスとQRコードは切っても切り離せない関係となっています。スマホを利用したサービスの普及に伴い、利用する機会が増えているQRコードについて、QRコードを利用した犯罪に触れるにあたり、仕様と普及状況を少しだけ復習したいと思います。

イメージ画像

QRコードの仕様と普及状況

QRコードは、1994年に日本の自動車部品メーカーのデンソーが開発したマトリックス型二次元コードになります。このQRコードは、数字のみであれば最大7,089文字、英数字であれば最大4,296文字の多くの情報を表示することが可能で、先に触れた用途以外にもQRコードが開発されるきっかけとなった生産現場での部品の管理、物流プロセスでの商品管理などでも利用されています。また、オープンソース化されていることから、日本だけでなく世界中に普及しており、スイスでは、2022年10月1日以降、請求書に口座番号などの情報が入ったQRコードの記載が必須になっています。

このように世界中に普及しているQRコードですが、例に漏れずこのQRコードを利用して悪いことをしようと考える人が出てきています。では、QRコードを利用した犯罪にどの様なものがあるのか、いくつかピックアップして見ていきたいと思います。

海外の不正利用事例

オーストラリアでは、新型コロナウィルス感染症関連のポスターに付けられていたQRコードに上から別のQRコードを貼り付け、ワクチン接種反対派のWebサイトへ誘導する犯罪が行われました。また、中国では、自転車のシェアリングサービスで利用されているQRコードが差し替えられて、支払った利用料金が攻撃者の口座に振り込まれる犯罪が行われています。もちろん差し替えられたQRコードを利用して料金を支払っても自転車のロックは解除されません。米国でも駐車場のメーターに貼られているQRコードの上から別のQRコードを貼り付けて、利用者をフィッシングサイトに誘導し決済情報を搾取する犯罪が行われています。

世の中で利用されているQRコードの多くは、物理的にセキュアな場所で利用されている状況ではないため、比較的容易に貼り換え差し替えが可能です。この様な手軽さから攻撃者に狙われていると考えられます。
 
その他にも、オランダでは、駐車場の機械が壊れていると偽り、攻撃者が持っていたQRコードをスキャンして料金を支払うよう案内を行い、攻撃者の口座に料金を振り込ませる犯罪が行われました。フィッシングメールにQRコードを記載して、QRコードからフィッシングサイトへ誘導して認証情報を盗む犯罪なども日常的に行われています。QRコードは、WebサイトのURLなどと違い、人の目で内容を確認することができないため、不正なサイトへの誘導が容易になっていると考えられます。
 
QRコードの普及に伴い、QRコードを利用した犯罪は今後益々増えてくると考えられます。飲食店でQRコードを読み込んで何気なく表示させているメニュー/支払い画面も、実はフィッシングサイトかもしれません。QRコードによる犯罪の被害を防ぐには、QRコードが信頼できるものか十分に確認しておく必要があります。物理的に不自然に差し替えられていないか、QRコードの送信元は信頼できるか、QRコードから飛んだ先は信頼できるWebサイトなのかなどの確認が必要になります。

イメージ画像
セキュア&高速コンテンツサービス「いきなりインフォ」とは
 
本来、気軽に使えて便利なQRコードであるはずが、犯罪のため手軽に利用できない状況は好ましい状況ではありません。手軽に利用するため、今後は承認されているQRコードだけ読み込みを許可するアプリなどが急速に普及してくるかもしれません。

弊社では、セキュア&高速なコンテンツアクセス(QRコードを利用したアクセス)を提供する「いきなりインフォ」をリリースしております。QRコードを安心して利用できる環境を構築したいなどのご要望がございましたら、ぜひ弊社にご相談ください。
 
最後までお読みいただきありがとうございました。
それではまた、次のコラムでお会いしましょう。

※「QRコード」は、株式会社デンソーウェーブの商標または登録商標です。

当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。

メルマガ登録ボタン


水谷 知彦

株式会社IDデータセンターマネジメント テクニカルスペシャリスト

この執筆者の記事一覧

関連するソリューション

サイバーセキュリティ

ID-Ashura/セキュリティサービス

関連するナレッジ・コラム

スマートフォンの安全性を向上させる「GrapheneOS」とは?

Society 5.0を支える認証基盤-トラストサービス