米FTC、QRコードを用いた「クイッシング」攻撃について注意喚起

　QRコードのスキャンは、カメラアプリを起動するだけで必要な情報にアクセスできる極めて便利な方法だ。だが、そのQRコードがあなたの考えているようなものであるとは限らない。

提供：adventtr/Getty Images

　米連邦取引委員会（FTC）は米国時間12月6日、QRコードに隠された有害なリンクに注意するよう促す消費者向け警告文を公開した。

　QRコードはどこにでもあり、ほとんどあらゆるものに使われているため、攻撃者がQRコードをフィッシング攻撃の手段として利用しているのも不思議はない。

　FTCはこのような攻撃について、また自分を守るために何を警戒すべきかを理解するための情報を提供している。

クイッシング（Quishing）とは

　QRコードはほぼあらゆる場所に存在し、ユーザーが自分の必要とする情報に簡単にアクセスできる手段を提供している。そのため、人々はその目的を疑うことなく、QRコードをスキャンしてしまいがちだ。

　このような脆弱性に気づいた攻撃者は、便利なQRコードに見せかけたコードを作成し、そのコードをスキャンしたユーザーをなりすましサイトに誘導して、個人情報を盗んだりユーザーのデバイスにマルウェアをインストールしたりする。

　こうした攻撃をクイッシングという。個人（または不特定多数の人々）をだまして、そのコードを無害（または必要）なものと思い込ませるが、真の狙いは無害どころではない。個人情報を入手したり、銀行口座の認証情報を盗み出したりするなど、さまざまな悪事を働くことが目的だ。

警戒すべきクイッシング攻撃は？

　FTCによれば、駐車料金を支払うためにパーキングメーターに設置されているQRコードを隠すように、詐欺師が作成した悪質なQRコードが貼り付けられていた事例が報告されているという。

　また、緊急の連絡に見せかけたテキストメッセージや電子メールでQRコードを送信し、すぐにそのコードをスキャンするよう促すという手法もよくあるクイッシング攻撃の1つだと、FTCは述べている。

　もちろんQRコードを使用した詐欺の事例はこれだけにとどまらない。究極的には普段目にするあらゆるQRコードは悪用される可能性がある。

身を守るためにできること

　FTCは、知らない場所に貼られたQRコードを見つけた場合は、読み取る前にリンク先のURLを確認するよう推奨している。URLに見覚えがあるかどうかを確認し、見覚えがある場合でも、スペルミスや文字の入れ替えがないかをチェックしよう。

　同委員会はまた、知らない連絡先からのQRコード付きのメールやテキストを受け取った場合、特にすぐに行動するよう促している場合は、スキャンしないようアドバイスしている。

　メッセージが正当なものだと思われる場合は、本物であることが判明している電話番号やウェブサイトをもとに、送信者が本物かどうかを確認してほしい。例えば、X社を装ったQRコード付きのメールを受け取ったが、送信者のメールアドレスを見ると、「Gmail」や、でたらめな（未知の）ドメインからのものだった場合、クイッシング攻撃の可能性はかなり高い。

　さらにFTCは、スマートフォンのOSをアップデートして最新の状態にし、アカウントに強力なパスワードと多要素認証を導入してアカウントを保護することを推奨している。