ソーシャルエンジニアリング

ソーシャルエンジニアリングは、技術的な脆弱性ではなく、人間の心理 (信頼、恐怖、好奇心、緊急性) を悪用して機密情報を詐取する攻撃手法です。フィッシングメール、なりすまし電話、偽の技術サポート、尾行による入室 (テールゲーティング) などが含まれます。最も高度なセキュリティシステムも、人間が騙されれば突破されます。

QR コードはソーシャルエンジニアリングの新たなベクターとして悪用されています。「QR コードをスキャンすれば便利な情報が得られる」という社会的な信頼感が形成されているため、ユーザーは QR コードの安全性を疑わずにスキャンする傾向があります。攻撃者はこの信頼を利用し、正規の QR コードの上に偽のステッカーを貼る、偽の駐車違反通知に QR コードを印刷する、偽の Wi-Fi 接続用 QR コードを公共の場に設置する、といった手口を使います。

特に巧妙なのは、緊急性を演出する手口です。「あなたのアカウントが不正利用されています。今すぐこの QR コードをスキャンして確認してください」というメッセージは、恐怖と緊急性を煽ってユーザーの判断力を鈍らせます。冷静に考えれば不審な QR コードでも、パニック状態ではスキャンしてしまいます。

対策の基本は、「QR コードの出所を確認する習慣」を身につけることです。公共の場に貼られた QR コードは上から貼り替えられていないか確認する、メールや SMS の QR コードは送信元を検証する、スキャン後に表示される URL のドメインを確認する、という 3 つの習慣がリスクを大幅に低減します。