FBI、改ざんされたQRコードに対して注意喚起～フィッシングサイトに誘導される恐れ

 
長いURLを入力することなくカメラで撮影するだけでWebサイトにアクセスできることから、QRコードは公的な機関をはじめさまざまな団体に利用されています。
 
このQRコードに関してアメリカ連邦捜査局（FBI）が、サイバー犯罪者が改ざんされたQRコードを利用して消費者をフィッシングサイトに誘導しようとしているとして、注意を喚起する発表をおこないました。

悪意のあるサイトに誘導されたり個人情報を盗まれたりする可能性

FBIは、サイバー犯罪者がQRコードを改ざんしてユーザーから金銭や個人情報を盗もうとしているとして消費者に注意を促す発表をおこないました。
 
改ざんされたQRコードは悪意のあるサイトにリンクしており、たとえば銀行のサイトに似せたフィッシングサイトにより口座へのアクセス情報などを盗もうとします。
 
また、QRコードを利用した決済において、金銭の支払先をサイバー犯罪者にするケースもあるそうです。
 
QRコードにマルウェアが埋め込まれていることもあり、位置情報や個人情報などが盗まれる恐れもあるといいます。

FBIが提案する8つの自衛策

このような改ざんされたQRコードに対し、FBIは8つの自衛策を提案しています。
 

1. QRコードを読み込んだら、それが正規のサイトであることを確認する。正規のURLに似せたフィッシングサイトである可能性もあるため、十分確認すること。
2. QRコードを利用してアクセスしたサイトでログイン情報や個人情報などを入力する場合は特に注意する。
3. 紙などに印刷された物理的なQRコードを読み取る場合、コードが改ざんされていないか確認する。たとえば、元のコードの上にシールで別のQRコードが貼られていないかなど。
4. QRコード経由でアプリをダウンロードしない。必ずアプリストアからダウンロードする。
5. 何かを購入した後でその会社から支払いに失敗したと通知があり、QRコードでしか支払えないといわれた場合はその会社に電話をして確認する。会社の電話番号はメールに記載のものではなく、信頼できるサイトを通じて検索する。
6. QRコードスキャナーアプリをダウンロードしない。そのアプリ自体が悪意を持って開発されたものである可能性がある。ほとんどのスマートフォンは標準のカメラアプリからQRコードを読み取ることができるため、それを利用する。
7. 知人からと思われるQRコードを受け取った場合、その知人に電話等で確認してからアクセスする。
8. QRコードで遷移したサイトでの支払いは避ける。既知の信頼できるURLを手入力し、支払いをおこなう。

 
QRコードを利用したフィッシングサイトへの誘導については、Googleカメラアプリの不具合を利用したものが登場することが懸念されています。

 
 
Source: FBI via Notebookcheck
(ハウザー)