知っておきたいQRコードのリスク！QRスキャンの危険性をご紹介

最近あなたはQRコードをスキャンしましたか？
スキャンする前に、リスクを考えましたか？

QRコードのセキュリティリスクは決して新しい話題ではありません。少なくとも、25年以上前からリスクは顕在していました。注目され始めたのは、QRコードの利用が広がり始めた2010年代後半からです。スマートフォンの普及に伴い、QRコードを使ったフィッシング攻撃やマルウェアの拡散が増加し、注意喚起されるようになりました。

QRコードは日常的に利用されている

QRコードは身近なところにたくさんあります。チラシやパッケージ、看板などのPR活動のほかにも、取扱説明書、決済、電子チケットなど日常的に利用されている方も多いのではないでしょうか。

2022年、アメリカで大人気のアメフトのチャンピオンシップゲーム「スーパーボウル」のコマーシャルで、仮想通貨の企業であるCoinbaseのコマーシャルが放映されました。それは、画面上にカラフルなQRコードがバウンドするだけというものでした。

その1分間で、なんとサイトのアクセスは2000万回以上に達しました。つまり、2,000万人以上がQRコードをスキャンしたということになります。
そのくらい多くの方が、スキャン先が不明なQRコードでもスキャンする可能性がある、ということです。

様々なシーンで見かけるQRコード

QRコードはいろんなところで見かけます。
レストラン、案内板、ビルの看板、ちょっと変わったものだとビールグラス、お墓、ドローンによる投影など、いろいろな場所に様々な方法でQRコードが貼られています。先日、SAのトイレに入ったら、主に外国人向けに、シャワートイレの使い方を説明するWebページのQRコードが貼られていました。

QRコードのリスク

QRコードは何がリスクなのでしょうか？QRコードで何ができるのでしょうか？

Webサイトにアクセスする

Webサイトにアクセスするだけでも、リスクは潜んでいます。
例えば、このQRコードは当サイトのトップページのQRコードです。QRコードだけ見ても、その先が何なのか全くわかりません。

（https://security-academy.jp/）

QRコードで読み取るとき、アクセス先のURLの一部が見えたりドメインが見えることがあります。しかし、小さくて見えづらかったり、すべてを確認できないことも多くあるのではないででしょうか。

例えば、よく似た文字列のURLだと、気が付かない可能性があります。

例えば、サブドメインが長すぎる場合にドメインが見えないことがあります。

デバイスやアプリのUIによっては、ドメイン名だけが表示されるものや、サブドメインだけが表示されるものもあります。

このようにして、QRコードのスキャンで不審なサイトに誘導されてしまうリスクがあります。

誘導されたWebページで起こるリスク

QRコードをスキャンすると、サインイン画面のWebページが表示され、ログイン情報を入力すると、その認証情報を窃取されるという場合があります。

チラシに記載されたQRコードを読み込み、そのサイトでクレジットカード情報を入力して商品を注文したところ、カード情報や暗証番号が窃取されたという国内の事例も報告されています。

激安焼き肉弁当、QRコードで頼んだら…カード情報聞かれる新手口か|朝日新聞

また、スキャンすることで、マルウェアをダウンロード・実行されるリスクもあります。
「飲食店で、QRコードからアンケートアプリをインストールしたところ、デバイスが乗っ取られ銀行口座から20,000ドルを送金された」という事例も報じられています。

Woman who scanned QR code with malware lost $20k to bubble tea survey scam while she was sleeping | The Straits Times

そのほかにも、Appストア上の不審なアプリに誘導するものなども確認されています。

位置情報を送信

スキャンするとWebサイトにアクセスし、現在の位置情報を送信させることもできます。位置情報の送信は本人の許可が必要ですが、巧妙なソーシャルエンジニアリングにより許可させられてしまう可能性があります。

電話をかける

電話の発信に誘導するものもあります。QRコードを読み取ると電話の発信ボタンが表示されます。

例えば、高額な通話料金が発生する国際電話にかけさせたり、「未納料金がある」「サービスが停止する」などの音声で料金を請求されたり、SIMカードが乗っ取られる「SIMスワップ詐欺」の対象となってしまう可能性があります。

電話帳の連絡先 vCard

銀行・会社・親戚・知り合いなど、なりすまし用の連絡先情報をユーザーに登録させることもできます。
ユーザーがスキャンして連絡先に登録すると、攻撃者がその番号から電話をかけたときに登録された連絡先が表示されるため、信じてしまうという手口です。

メッセージの送信

スキャンすると、指定した文面が入ったSMSメッセージを送信する画面に誘導することもできます。

つまり、自らの手で他者に詐欺メッセージを送ってしまうというわけです。

Wi-Fiネットワークに接続する

お店などで、Wi-Fiへの接続用のQRコードを提供されていることがあります。スキャンすると接続できるのは便利ではありますが、例えばそれが攻撃者のネットワークだった場合、通信内容を盗まれるリスクがあります。

テキストを表示する

単なるテキストの表示も、誹謗中傷やいじめに悪用される可能性もあります。

発行者が信用できる場合はスキャンしてもよいか？

では、どのようにして被害を防ぐのがよいのでしょうか。

たとえば、大きな広告やパッケージ、看板など、改ざんされる可能性が低い場合はリスクが比較的低いかもしれません。
しかし、レストランや決済コード、ホテル、駐車場などでは、本来のQRコードの上に悪意のあるQRコードが貼られていた事例があります。

出典：HIT THE BRAKES Urgent warning to drivers over QR code rip off at car parks – and simple trick to avoid losing money｜The Sun

「QRコード発行者の信頼度が高ければ問題ない」、とは言い切れないことが分かると思います。

攻撃メールにも使用されるQRコード

QRコードは、フィッシングメールなどでも利用されています。これは、メールを通じてモバイル端末を狙っているということです。

例えば、サービスや企業を装ったメールを送信し、QRコードを添付します。「アカウントの確認が必要です」や「支払い方法に問題があります」といった内容で、受信者にQRコードをスキャンさせようとする例が報告されています。

また、QRコードで誘導された先でマルウェアをダウンロードさせたりする場合もあります。メールにある不審なリンクはメールフィルタにかかってブロックされることがありますが、QRコードの場合は画像なので、フィルタを回避して届いてしまう可能性があります。

添付されたWordファイル内にQRコードが入っていたという事例もあります。マクロなどが組み込まれていなくてもQRコードというリスクがある、ということです。

QRコードを悪用しクレジットカード情報を盗み出すフィッシングキャンペーン|HP

QRコードの見た目では、人はリスクを判断できない

QRコード自体は大変便利なものですが、アクセス先などのデータはQRコード内にエンコードされているため、URLとは異なり人間が見て判断はできません。読み取り時にわずかな情報、たとえばドメイン名のみが表示されることはありますが、それだけでは安全性を判断できません。
アプリによってはアクセス先がまったくわからないものもあります。

また、信頼できる発行元だとしても安心はできません。
近年ではデータを動的に変更できるQRコード発行のサービスもあります。たとえば、そのサービスを使って作成したQRコードを商品や店舗のメニューなどで多数利用されていたとしましょう。そのQRコード発行サービスのアカウントが乗っ取られてしまったら、どうなるでしょうか？

QRコードは非常に便利なものですが、多くのリスクを伴います。
読み込む前に発行元を確認し、リスクの有無を確認したうえで慎重に判断することを習慣づけましょう。社内のセキュリティ教育などでも周知いただければと思います。

QRコードフィッシング訓練機能追加予定

Selphishでは、2025年春にQRコードフィッシング訓練機能のリリースを予定しています。

QRコードを使った攻撃は、コロナ禍以降急増しています。被害を防ぐには、まず従業員にこのような攻撃があるということを知ってもらうことからです。継続的なメール訓練で、セキュリティ意識の向上を図ることを心掛けてください。

※QRコードは(株)デンソーウェーブの登録商標です