フィッシング

フィッシング (phishing) は、正規のサービスを装った偽のサイトやメッセージで、パスワード、クレジットカード番号、個人情報などを騙し取る攻撃手法です。メールやSMSを使った手口が従来の主流でしたが、近年は QR コードを悪用した「クイッシング (quishing)」が急増しています。FBI は 2022 年に QR コードフィッシングに関する警告を発出し、以降も被害報告が増加しています。

クイッシングの典型的な手口は、正規の QR コードの上に偽の QR コードを貼り付けるものです。駐車場の料金メーター、レストランのメニュー、公共施設の案内板など、利用者が疑いなくスキャンする場所が狙われます。偽の QR コードをスキャンすると、本物そっくりのフィッシングサイトに誘導され、ログイン情報や決済情報を入力させられます。メールのフィッシングと異なり、QR コードは URL が目視で確認しにくいため、被害に気づきにくい特徴があります。

防御策は 3 つあります。第一に、スキャン後に表示される URL を必ず確認し、正規のドメインであることを確かめてから操作を進めること。第二に、物理的に貼り替えられた形跡がないか QR コードの外観を確認すること (シールが重なっていないか等)。第三に、QR コードから誘導されたサイトでは、パスワードやクレジットカード情報の入力を避け、公式アプリや直接 URL 入力でアクセスし直すこと。QR コードを設置する側は、改ざん防止のためにコードを印刷物に直接印刷し、シール貼付を避ける設計が有効です。