第55回
QRコード詐欺が
現実のものに!
QRコードの危険性およびその原因となる広い意味での脆弱性についてはこの連載でも幾度となく、取り上げました。今まで国内においてはQRコードを利用した詐欺や不正アクセス、あるいは情報漏えいは被害という形では起こっていませんでした。2023年11月になって、はじめて、その被害が明らかになりました。関東を中心に展開しているスーパーマーケットの「いなげや」が、同社が展開しているネットスーパーへの入会案内を告知した、店頭に掲示したポスターや配布したチラシに掲載したQRコードをスマホ等で読み取ると、不正なサイトに誘導されて、クレジットカード情報等を含む個人情報が盗まれるという事案です。このポスターやチラシのQRコードいなげやが掲載したもので、張り替えたり、書き得たりしたものではありません。利用者は「いなげや」が正式に発効したポスターやチラシであることを信用して、QRコードを利用したのです。このQRコードには不正なサイトのURLが記入されていました。
今までもQRコードの脆弱性については注意喚起してきました。それはQRコードを見ただけでは、特に人間が認識する限りは、何が書かれているか、つまりどこのサイトのURLが記入されているかわからないことです。スマホ等のQRコードデコーダがそれを解析して、URLを表示します。利用者は本来、そのURLを確認してから、そのサイトにアクセスすることが求められます。しかしながら、それを確認することなく、アクセスしてしまい、正規のサイトと見分けがつかないフィッシングサイトに誘導され、詐欺に遭うことが多いのです。利用者の第一の、そして必須の対策は、URLを確認し、それが正しいURLなのかを認識してから、アクセスすることでした。
では、いなげやが発行したポスターやチラシに、なぜ不正なQRコードが印刷されてしまったのでしょうか。また、そのQRコードが不正と気が付かないとしても、利用者がQRコードに記載された不正なサイトのURLに気が付かなったのでしょうか。これには今までも指摘したQRコードの脆弱性と、QRコードと同じように、短縮URLという、その文字列を見ただけでは、正しいURLか否か見分けがつかない、言わば2重の脆弱性を利用した手口なのです。短縮URLとは長い文字列のURLを短く変換するサービスで、その短縮URLを作成し、それを利用できるサービス(ソフトやアプリ)が立ち上がっています。
問題となった、いなげやのポスターやチラシのQRコードには短縮URLが記載されていました。では、どうして不正なサイト、今回の場合、クレジットカード等の情報を盗もうとするフィッシングサイトに誘導する短縮URLがいなげやによって印刷されてしまったのでしょうか。推測の域を超えないのですが、いなげやが利用した短縮URLを作成するサービスが不正アクセスを受けて改ざんされてしまったか、もしくはよくあることですが、無料の短縮URL作成サービスでは、目的の(正しい)URLを表示する前に、広告ページを表示する場合があります。この広告ページ内のボタンをクリックすると、指定されたページに遷移することになり、それがフィッシングサイトあった可能性があります。利用者のほうもURLを確かめようにも、最初から短縮URLなので確かめようがなく、遷移してからはスマホ等ではURLを確認し辛いゆえに、騙されてしまうのでしょう。
今回はQRコードを利用したフィッシングサイトへの誘導でしたが、QRコードはURLを表示するだけでなく、様々な場面、分野で使われています。特に決済での利用が活発になっています。近々にでも決済に絡むQRコードの詐欺や犯罪が起きることでしょう。