QRコードのスキャンは安全です。コードそのものはエンコードされたリンクにすぎず、それを開くことは同じWebアドレスを手で入力するのと比べて何ら危険ではありません。本当のリスクはコードがあなたを送る先にあり、そこが攻撃者の活動の場です。悪意あるQRコードは、あなたのパスワードを盗むために作られた偽装ログインページや、有害なものをインストールさせようとするダウンロードを指すことがあります。だから「QRコードは安全か」への正直な答えはこうです。スキャンは安全で、確認すべきは行き先だ、と。
この攻撃には今や名前があります。quishing(QRコードを悪用したフィッシング)、「QR」と「phishing」を組み合わせた言葉です。そしてこれが拡大したのは、2つの防御を同時にかわすからです。QRコードはスキャンするまで行き先を隠すため、クリック前にリンクを確認するという昔ながらの助言が従いにくくなります。そしてコードは画像なので、テキストとリンクしか読まない多くのメールフィルターをすり抜けます。政府やセキュリティ研究者はその増加を警告しており、この手法は今や偽の駐車メーターの掲示から請求書まで、あらゆるところに現れています。
私はこれをコンプライアンスの立場から見ています。そこで問われるのはたいてい「リスクを生まずに顧客向けのものにQRコードを載せられるか?」です。答えはイエス、習慣を伴えば、です。このガイドでは、quishingの仕組み、信頼する前にコードを読む方法、そしてすでに悪いものをスキャンしてしまった場合の対処法をカバーします。スキャンする側ではなくコードを作る側なら、QRコードの作り方が始めどころです。
quishingの仕組み#
quishing攻撃は、リンクをコードに置き換えただけで、あらゆるフィッシングの試みと同じ構造を持っています。ステップを理解すると、警告サインが明白になります。
攻撃者は不正な行き先、つまり偽のログインポータル、支払いページ、マルウェアのプロンプトに解決されるQRコードを作ります。それを人々が何も考えずにスキャンする場所に置きます。IT部門や銀行から来たように見えるメール、ポスターや駐車メーターの本物のコードの上に貼られたステッカー、チラシ、または予期しない荷物です。被害者は携帯電話でスキャンし、なじみのあるものを模したページを目にし、認証情報やカード情報を入力します。そのデータは攻撃者に渡ります。
これを効果的にしているのは隠蔽です。普通のフィッシングリンクなら、注意深い人はホバーしてまずURLを読めます。QRコードはあなたがすでにスキャンに踏み切るまで何も見せず、小さな画面ではアドレスバーは無視されやすいものです。Kaspersky による quishing の分析も同じ点を指摘しています。隠された行き先こそが全ての強みなのです。あらゆるリダイレクトを悪意あるサイトへねじ曲げることを可能にする関連するサーバー側の手口はオープンリダイレクトの脆弱性の主題であり、この2つがしばしば連携することを知っておく価値があります。
悪意あるQRコードの警告サイン#
文脈とプレビューを合わせて読むことで、被害が出る前にほとんどのquishingの試みを捕まえられます。いくつかのシグナルが仕事の大半をこなします。
- 予期していなかった。 求めてもいないのに届くコード、メール、テキスト、郵便物、注文していない配達物の中にあるものは、何より先に疑うに値します。
- ステッカーである。 既存のデザインの上に追加されたように見える物理的なコード、特に駐車メーター、ポスター、メニュー上のものは、現実世界で最も一般的な手口そのものです。
- 切迫感を作り出す。 「停止を避けるため直ちにスキャン」や「今すぐ確認」のような文言は、あなたが通常なら確認する瞬間を通り過ぎさせるように設計されています。
- プレビューがおかしく見える。 スキャン後、ほとんどの携帯電話は開く前にURLを表示します。スペルミス、なじみのないドメイン、ブランドと一致しないドメイン、解決できない短縮サービスは、すべて止まる理由です。
- すぐに認証情報や支払いを要求する。 正規の行き先が、何かを見せる前にログインや支払いを求めることはまれです。偽物はそれを先頭に持ってきます。
米国連邦取引委員会(FTC)のガイダンスと英国NCSC の不審なメッセージに関する助言は、どちらも同じ直感に行き着きます。コードとその文脈の両方が正しいと感じられなければ、それが開くものに対して行動するな、ということです。
QRコードを安全にスキャンする方法#
安全なスキャンは特別なアプリではなく、短い習慣のセットです。どれも習慣になれば大して手間を増やしません。
- 携帯電話の内蔵カメラか、URLをプレビューするスキャナーを使ってください。開く前に、毎回そのプレビューを読みましょう。
- ドメインを、コードを送ったと思う相手と照合してください。アドレスの先頭のブランドが、ポスター、メール、メニュー上のブランドと一致するはずです。
- 展開できない短縮サービスに解決されるコードには警戒してください。逆に、コードが見覚えのある明確なブランドドメインを指していれば、信頼はより容易です。
- QRコードに言われたという理由だけで到達したページで、パスワード、カード番号、ワンタイムコードを決して入力しないでください。代わりに自分でそのサイトにアクセスしましょう。
3つ目の点は両方向に効き、ここがコードを作る人がスキャンする人を助けられる場所です。顧客が見覚えのあるドメイン上のブランド付き短縮リンクは、不透明なものよりはるかに信頼しやすく、これがコードのブランディングが単なるデザイン上の特徴ではなくセキュリティ上の特徴である理由の一つです。ブランド付きQRコードのデザインを参照してください。
顧客向けのQRコードを公開していて、それを信頼できるものに見せたいなら、つまりあなたのドメイン、あなたのブランディング、悪用されたら向け直せる行き先にしたいなら、Elido で計測可能なQRコードを生成して、オーディエンスがランダムな文字列ではなく知っている名前を目にするようにしてください。
すでに悪いものをスキャンしてしまった場合#
悪意あるコードをスキャンしてプレビューするだけでは、それ自体ではほとんど何も起きません。だからプレビューで止まったなら、ほぼ確実に大丈夫です。閉じて続けてください。露出は次のステップから生じるので、それを取ってしまったなら、すばやく動いてください。
ページを閉じ、それ以上何も入力しないでください。すでにパスワードを入力したなら、本物のサイトでそれを変更し、そのアカウントの二要素認証をオンにしてください。カードや銀行の情報を入力したなら、銀行に電話してください。何かをインストールまたはダウンロードしたなら、セキュリティスキャンを実行して削除してください。そして報告してください。米国では FTC を通じて、その他の地域では各国の詐欺やサイバー犯罪の機関を通じて。そして影響を受けたアカウントを数週間注視してください。盗まれた認証情報はすぐにではなく後で使われることが多いからです。あらゆる短縮された行き先を見極めるためのより広い構えはURL短縮サービスは安全かとURL短縮サービスのセキュリティチェックリストにあります。
QRコードは習慣とともに使い続ける価値がある#
これらのどれも、QRコードを捨てる理由ではありません。QRコードは物理からデジタルへの本当に役立つ橋であり、フォーマットそのものは問題ではありません。問題はそれを取り巻くソーシャルエンジニアリングです。同じ論理が公開する側にも当てはまります。あなたが管理し、自分のドメインに向け、計測して向け直せるコードは、静的な使い捨てよりもオーディエンスにとって安全です。行き先が侵害されたら反応できるからです。
組織にとってのコンプライアンスの見方は、QRコードはリンクを運ぶもう一つのチャネルにすぎず、それが導く先が何であれ同じデータ最小化と居住地のルールが適用される、というものです。詳細はURL短縮サービスのためのGDPRと私たちのトラストページにあります。プレビューしてスキャンし、ドメインを確認し、コードに促されたページで決して秘密情報を入力しなければ、QRコードは本来あるべきもの、つまり負債ではなく便利さであり続けます。
ブログの関連記事#
Elidoを試す
URLを貼り付けて短縮リンクを取得
登録不要。リンクは30日間有効。永久に保存するには登録してください。
Free、登録不要 · 1日あたり2件