QRコードを使えば簡単にサイバー犯罪って出来ちゃいますよね？

仕事柄、クライアントから『広報用の動画があって告知したいので、簡単に見てもらえるようにQRコードを作ってもらえますか？』といったような依頼がちらほらとあります。だいたいいつも印刷用なのかWEB用なのかなど、必要な内容を聞き取りして気軽にお渡ししているのが日常です。あれ？ふと考えてみるに、私が小悪党だったら簡単にサイバー犯罪に手を染める事が出来る！ということに気が付いてしまいました…。（もちろんやりませんけれどもW）。

■参考情報

●警視庁：サイバー犯罪被害防止対策用短編アニメーション映像(QRコードトラブル編)
https://www.keishicho.metro.tokyo.lg.jp/about_mpd/joho/movie/cyber/cs_anime/personal/302.html

人間の目ではQRコードは読めない。スキャンして初めてその内容を確認できる。

上のタイトルを見て『そんなの当たり前じゃん！』と考えるのが普通だと思います。という事は、すなわち性善説でスキャンする必要がある訳です。そのQRコードが何の危険もなく問題なく使えることは、そのコードを作成した人に悪意がないことが前提条件となるからです。

因みにQRコードの“QR”とは「Quick Response」の頭文字です。読んで字のごとく素早く反応(読み取る)するという意味となります。1994年に自動車部品メーカーであるデンソー(現在のデンソーウェーブ社)が発明したマトリックス型二次元コードで、いわゆるバーコード(一次元コード)の進化版です。バーコードよりQRコードの方がコード化できる情報量が多く、英数字だけでなく漢字・かな、画像やサウンドデータを埋め込むこともできます。尚、数字のみなら最大7089文字、英数なら最大4296文字、画像やサウンドなどのバイナリデータ(8ビット)で最大2953バイト(約3KB)の情報量を埋め込むことが可能です。

少し話がそれました。実際にQRコードの悪用方法を考えてみましょう。ちょっと考えただけでもいくつも簡単な方法が浮かびますし、実際におこなわれた事例も数え上げればキリがありません。ほんの一例だけ記載します。

記載された説明とは異なる悪意あるアプリをダウンロードさせるQRコードを発行
実在するポスターや案内に掲載されているQRコードをシールなどですり替える
レンタルサイクルのQRコードを張り替えて自分の口座に入金させる(一時期中国で頻発)

簡単に思いつくものや実際に海外のニュースなどであった事例だけでも列記していけばキリがありません。また、金銭にかかわるものでなくとも、何らかの啓発活動ポスター等に記載されたQRコードを張り替えて、全く別の考えを述べるWEBサイトに誘導するといったことも可能となります。実際にオーストラリアでは、新型コロナウイルス感染症関連の案内にあったQRコードを改竄し、ワクチン接種反対を標榜するWebサイトに飛ぶようにされていたという事例もあったようです。

私自身は善良な一般市民ですので思いついても実際に手を染めることはないと断言できますが(たぶん…W)、やろうと思えば実に簡単に実行できてしまうのも事実です。
では、利用する側としてQRコードによるトラブルを避けるためにはどのような点に注意する必要があるのでしょうか？

そもそも出所の怪しいQRコードはスキャンしない
スキャンした際に表示されるリンクをよく確認する(短縮URLなら更に要注意！)
ポスターや掲示物の場合はシール等で貼られたQRコードだった場合は怪しむ

結局のところいたって簡単なことしか書けませんが、実際に一般人が出来る防衛手段などたかが知れています。尚、あまり詳しく書くと悪用のおそれもあるので書きませんが、QRコードには特定の操作を自動的に実行させるコマンドを内包させることも可能です。例えばQRコードを読み込むと指定した連絡先へ通話を開始させたり、アドレス帳に連絡先を追加させたりといったこともできてしまいます。だからこそ、安易なQRコードの読込みには最大限の注意を払う事をおすすめいたします。

2021/10/29 [ 文：スタッフ S ]