オートバックスDMのQRコード読み込み→不正サイトでカード情報抜き取られ

　カー用品店チェーン、オートバックスセブンが会員向けに郵送したDM（ダイレクトメール）に記載された、会員制度リニューアルのホームページを案内する2次元バーコードを読み込むと、設定していない広告サイトや不正サイトに誘導され、クレジットカードの情報を抜き取られるという被害が発生している。今月にはスーパーマーケット「いなげや」の入会案内ポスターやチラシに記載されたQRコードでも同様に事案が発生しているが、どのような手口なのか。また、郵送物やチラシなどに記載されたQRコードを読み込むのは危険なのか、専門家に話を聞いた。

　問題が発生しているのは、オートバックスセブンが郵送したDM。2次元バーコードからアクセスすると不正サイトに誘導され、クレジットカード番号などの入力を要求される事例が発生している。これを受け同社は13日、注意喚起のリリースを発表。「会員様向けDMの、以下の赤丸箇所の2次元バーコードの読み取りを行わないようお願い申し上げます」と呼び掛けている。

スマホを乗っ取り銀行口座から預金を盗むという巧妙な手口も

　昨今、同様の事例は増えている。10月、学習院大学が発行した「大学案内」に掲載されたQRコードを読み込むと不正サイトに誘導される現象が発生。海外ではパーキングメーターの駐車料金支払い用QRコードから、料金を詐取する不正サイトに誘導される事例が相次いで起きており、米国の消費者保護の業界団体「Better Business Bureau（BBB）」によれば、米国では2021年頃から電子メールやSNSのメッセージ、郵便物などに記載されたQRコードを悪用した詐欺が増加しているという。

　セキュリティ関連製品メーカー・トレンドマイクロの22年9月付レポートによれば、ドイツでは攻撃者が銀行になりすまし、QRコードを利用してユーザの銀行の認証情報を盗み出すフィッシング詐欺が起きている。また、Microsoft 365の認証情報を入手したり、プレミアムサービスに加入させユーザに毎月料金を請求するフィッシング詐欺なども起きているという。

　このほか、QRコードを読み込んだスマートフォンにマルウェアアプリを自動的にインストールさせスマホを乗っ取り、インターネットバンキングの利用時にログイン情報を読み取り、銀行口座から預金を盗むといった巧妙な手口も。さらには、自動車に偽のQRコード付き駐車違反切符を貼り付けたり、飲食店などの店舗に堂々と悪意のあるQRコードを記載したポスターやチラシを貼るという事例まであるという。

「QRコードを悪用した詐欺は数年前から海外で増えていたが、最近になって日本でも流行り出した。日本ではこうした詐欺事例の認知度が低いが、現在では行政関連の郵送物でもQRコードを記載してユーザにアプリをインストールさせるものもあり、たとえ求められても安易にクレカや銀行口座の情報を入力しないよう注意が必要だ」（IT業界関係者）

QRコード経由の詐欺の被害を防ぐ方法

　今回のオートバックスセブンの事例のように郵送物に記載されたQRコードから不正なサイトへ誘導するという手口は、どのような仕組みで行われているのか。ITジャーナリストの山口健太氏はいう。

「ウェブサイトのURLを示すQRコードは、カメラで読み取ることで入力の手間を省ける便利なものです。しかしQRコードの仕組み上、URLが長すぎると複雑になりハガキなどへの印刷が難しくなるため、短縮URLサービスを利用してURL自体を短くする場合があります。今回のケースでは、この短縮URLを展開する際に第三者による広告が表示され、そこから悪意のあるサイトに誘導された可能性が指摘されています」

　QRコード経由の詐欺の被害を防ぐ方法とは。

「QRコードや短縮URLを無料で作れるサービスは多数存在していますが、広告を入れてくるものもあります。一般的な広告なら問題はないはずですが、最近は悪意のある広告が含まれることが問題となっています。長いURLは自社サイト内で転送をかけるなど外部サービスへの依存を減らすこと、また作成したQRコードの中身をしっかり確認することも必要です」

　では、送られてきた郵送物などに印字されたQRコードの読み込みは避けたほうがよいのか。

「QRコードに含まれる情報が信用できるものなのか、外から見て判別するのは困難です。カメラで読み取った際に表示されるURLから判断するか、それが難しい場合は検索エンジンなど別の方法で目的のウェブサイトを探すことをおすすめします」

（文＝Business Journal編集部、協力＝山口健太／ITジャーナリスト）