海外でQRコードフィッシングという攻撃があるそうです。
全容を教えてください。
A.QRコードフィッシングという攻撃についてお答えします。
QRコードフィッシングとは、
QRコードを悪用して、ユーザの個人情報や金銭を盗む詐欺のことです。
攻撃者は、偽のQRコードを作成し、
ユーザを不正なWebサイトやアプリに誘導したり、
不正な操作や支払いをさせたりします。
QRコードは人間が読み取ることが難しいため、
ユーザはQRコードに含まれるリンクやデータが
正しいかどうか判断できない場合が多いです。
QRコードフィッシングの手口には、
以下のようなものがあります。
物理的な手段を用いた詐欺
攻撃者が偽のQRコードのシールを印刷し、
店舗や公共スペースに掲示されているQRコード付きの
看板やポスターの上に物理的に貼り付けるというものです。
ユーザがQRコードをスキャンすると、
攻撃者の口座に支払いが行われたり、
フィッシングサイトに誘導されたりします。
フィッシングメールにおけるQRコード
攻撃者が銀行やサービス提供者になりすまし、
メールに偽のQRコードを添付するというものです。
ユーザがQRコードをスキャンすると、
不正なログインページやダウンロードページに誘導され、
認証情報やマルウェアを盗まれます。
プレミアムサービス加入のためのQRコード
攻撃者がQRコードを利用して、
ユーザに報酬を得られると約束し、
プレミアムサービスに加入させるというものです。
ユーザは毎月請求される料金に気づかないまま、攻撃者に金銭を搾取されます。
暗号資産関連のQRコード
攻撃者がQRコードを利用して、
ユーザに暗号資産のウォレットやマイニングサービスを
ダウンロードさせるというものです。
実際には、偽のトークンや手数料の削減を騙る偽の
ウォレットやサービスであり、ユーザの暗号資産を盗まれます。
ログイン情報を盗み、
アプリへ不正にアクセスする
攻撃者がQRコードを利用して、
ユーザにアプリへのログインや認証を求めるというものです。
実際には、攻撃者が作成した偽のQRコードであり、
ユーザのアカウントや個人情報を盗まれます。
QRコードフィッシングに対する対策としては、
以下のようなことが挙げられます。
1.QRコードをスキャンする前に、改ざんされていないか確認する。
例えば、別のQRコードが隠されていないか注意する。
2.たまたま見かけたQRコードや、知らない送信元から
受け取ったメールに記載されているQRコードを安易にスキャンしない。
電子メールやメッセージングアプリに含まれた
リンクや添付ファイルを扱うときと同じように、
QRコードの取り扱いにも注意を払う。
3.請求書の支払いや、そのほかの金融取引に
QRコードを使用する場合は特に注意する。
別の決済手段の利用を検討する。
4.QRコードの読み取り時に、Webサイトを開く、
ファイルをダウンロードする、Wi-Fiに接続するといった
操作が自動的に実行されないよう、オプションを無効化する。
5.スキャン後は、そのURLが正規のものであることを確認する。
正しいURLだとしても、QRコードから遷移したWebサイトでは、
ログイン情報や個人情報の入力は避けた方がよい。
少しでも不審に感じたら、ブラウザーを開いて自身でURLを入力しよう。
6.アプリへのアクセス、
あるいは書類や健康診断書などに含まれるQRコードなど、
機密情報が含まれるQRコードは他人と共有しない。
以上が、QRコードフィッシングという
攻撃の全容と対策になります。
QRコードは便利な技術ですが、
安全に利用するためには注意が必要です。
ご参考になれば幸いです。
コメント
これは気をつけないとあかん
これは流行る