そのQRコード本当に大丈夫？

2023年3月17日

ショッピングの決済や、特定のサイトへのアクセスなどで利用する「QRコード」。スマホでスキャンするだけで利用できて便利ですよね。毎日のように使っている人、多いと思います。

でも今、このQRコードの悪用が増えているといいます。

うっかりアクセスしたら大変なことになるかも知れません。
（デジタルでだまされない取材班 / 島田尚朗）

QRコード付きのメールが届いた

「お支払い方法に問題があり、特典をご利用頂けない状況です。Webページが乗っ取られないようにするためにQRコードをスキャンしてください」。

ことし1月、大手通販サイトの名前で送られたメールです。本文に、QRコードが表示されていました。

しかし、つながったのは通販サイトではなく、個人情報を盗み取るフィッシングサイトでした。サイトでは、メールアドレスやパスワードなどが求められ、打ち込んでしまうとその情報が犯罪者の手にわたってしまいます。

こうしたQRコードが表示されるメール、去年秋ごろから国内で次々に確認されています。

フィッシング対策協議会によりますと、QRコード付きの不審なメールは去年の11月ごろから見られるようになり、ことし1月だけで、およそ1000件が報告されています。

QRコードが使われている理由としては、不正なURLをブロックするメールソフトの機能をすり抜けるためだと見られています。

通販サイトだけでなく、ETCのポータルサイトをかたって偽のETCのサイトにつながる、QRコードが表示されるものも確認されています。

QRコードの悪用は、海外ではすでに被害が広がっています。

去年1月には、アメリカ連邦捜査局＝FBIが「QRコードから悪意のあるサイトに誘導されて個人情報が盗まれる可能性」について、注意を呼びかけました。

セキュリティー会社によりますと、アメリカの複数の都市では、路上に設置されたパーキングメーターに貼られた支払いのための正規のQRコードの上に、偽のQRコードのシールを貼り付けられる犯罪が多発したということです。

また、オランダでは「駐車場のゲートの支払機が使えない」などと偽の係員がうそをつき、QRコードを示して、料金を支払わせる詐欺が発生しました。

中国でも自転車のシェアリングの支払いで、利用者が料金を支払って自転車のロックを解除するためのQRコードが、貼り替えられ、支払った料金が攻撃者の口座に振り込まれてしまう事例が報告されているということです。

さらに、QRコードを読み込んだことで、不正なプログラムをダウンロードさせる偽のサイトに誘導したり、自動的に連絡先が追加されたり、通話が開始されたり、メッセージが送信されたりするおそれもあるということです。

フィッシング詐欺や不正送金以外のリスクもあります。

国内でも、自動販売機やトイレに、寄付などを求めるサイトにつながるQRコードのシールが、無断で貼られるケースが相次いで確認され、事業者が注意を呼びかけました。

QRコードを悪用した詐欺などにひっかからないようにするにはどうすれないいのか。まず、QRコードからアクセスを促すメールについては、フィッシング対策協議会は「不正の可能性が高い」として、絶対にアクセスをしないよう呼びかけています。

実は、QRコードは誰でも簡単に作ることができます。例えばこのQRコード。

「デジタルでだまされない」のNHKのサイトにつながるQRコードですが、作成には10秒もかかりませんでした。ネット上のサービスやアプリには無料でQRコードを作成するものが数多くあります。

ふだんから、メールの怪しいURLは開かないことを意識している人は多いかもしれませんが、QRコードでも同じ意識を持つことです。

街なかの至るところで表示されているQRコードの中には、発行元が確かでないものも、まぎれています。

セキュリティー会社は、
▽公共空間のポスターなどのQRコードを読み込む際には、上からシールが貼られていないかなどを確認すること、
▽コードをスキャンした時に表示されるURLを確認すること、
▽発行元がよく分からないQRコードは読み込まないことなど注意を呼びかけています。

誰もが毎日のように使うようになったQRコード。つい、うっかりスマホをかざしてしまう前に、「本当に大丈夫かな？」と、ちょっとでも疑ってみることが必要かもしれません。