新型コロナウイルス感染症のパンデミックは、急速なキャッシュレス化を推し進める原動力となった。PayPay等に代表されるようなQRコード決済も最近では良く見るようになったが、店頭でスキャンするQRコードは安全かもしれないが、公共の場所にあるQRコードをスキャンする場合は注意が必要だ。

偽のQRコードから様々な犯罪に巻き込まれる可能性

米国連邦取引委員会（FTC）の最近のレポートによると、「詐欺師は個人情報を盗むためにQRコードに有害なリンクを隠してる」とのことだ。報告書では、外国で普及している駐車メーターに掲示されたQRコードを、犯罪者が自分たちのものに張り替えて覆うことがあるという。その結果、支払いは犯罪者に直接行われ、お金をかすめ取られる上に、駐車違反で捕まるという二重の打撃を受けることになるようだ。中には、テキストメッセージやメールでQRコードを送り、スキャンする理由をでっち上げる者もいる。

偽のQRコードをスキャンすると、本物のように見えるウェブサイトに誘導されることがあるが、それは偽物である。そこでは、入力されたすべてのデータ、個人情報や財務情報が保存される。詐欺師は、荷物が届かなかったため再スケジュールが必要であるとか、アカウントに不審な活動があると言って、急かすことさえある。

FBIは、「悪意のあるQRコードには組み込まれたマルウェアが含まれていることがあり、犯罪者が被害者のモバイルデバイスにアクセスし、被害者の位置情報や個人・財務情報を盗むことができる」と述べている。サイバー犯罪者は、盗まれた財務情報を利用して被害者の口座から資金を引き出すことができる。

では、どうすればいいのか？

FTCとFBIによると、偽のQRコードから自分を守る方法はいくつかある。

1. 予期しない場所にQRコードがある場合は、開く前にURLを検査する。認識できるURLのように見える場合は、偽物でないことを確認する – 誤字や文字の入れ替えがないかを確認する。
2. 予期していないメールやテキストメッセージのQRコードはスキャンしない – 特にすぐに行動を促される場合は。メッセージが正当であると思われる場合は、実際に存在する電話番号やウェブサイトを使用して企業に連絡する。
3. 電話とアカウントを保護する。ハッカーから保護するために電話のOSを更新し、強力なパスワードと多要素認証でオンラインアカウントを保護する。
4. FBIによると、知っている人から送られたと思われるQRコードを受け取った場合は、既知の番号やアドレスを通じてその人に連絡し、コードが本人からのものであることを確認する。
5. 物理的なQRコードをスキャンする場合は、元のコードの上にステッカーが貼られていないかなど、コードが改ざんされていないことを確認する。
6. QRコードからナビゲートしたサイトでログイン、個人、または財務情報を入力する際は注意を払う。

日本ではまだあまり聞かれないQRコード詐欺だが、QRコード決済の普及に伴い今後は増えてくる可能性もありそうだ。

Sources

• Federal Trade Commision Cusumer Advice: Scammers hide harmful links in QR codes to steal your information