これ、本当に気を付けてください。
実体験ですが、観光地に設置している自動販売機に、硬貨(お金)をいれるすぐ上に目立つようにQRコードのシールが貼っていて、明らかにおかしいと思い、その自動販売機の設置業者に連絡したら「知りませんでした」「そのQRコードは自社のものではない」といった事が実際ありました。(私は騙されていませんよ 笑)
その後、業者がQRコードをはがしに来た報告の連絡がありましたが、観光客が騙された可能性はあります。(間違えて読み取ったり支払ったりしたら自販機の設置業者に「ジュース出てこない」っていう連絡をしたら、業者もすぐ気づくと思うのでたくさんの人が騙された可能性は低いかもです。)
ということで、前段が長くなりましたが、以下の記事をご紹介いたします。
記事の説明
決済、レストランでのオーダー、映画や飛行機のチケットなど、さまざまなシーンで利用されるようになったQRコード。
しかし、これがサイバー攻撃者にとって格好の侵入ツールとなっています。
2024年に入り、攻撃件数が急増しており、個人だけでなく企業もその被害に遭う可能性があります。
日本プルーフポイントの調査によると、2023年の1〜3月期には1万件程度だったQRコードを悪用したメールフィッシングが、2024年の同時期には175万件にまで急増。
つまり、1日あたり約2万件もの攻撃が発生しています
特に、日本をターゲットにした攻撃が増えており、なじみのあるECサイトや銀行、公共機関からのメールに含まれるQRコードに注意が必要です。
QRコードを使った攻撃の手口として、サイバー攻撃者は正規のサイトによく似た詐欺サイトを作成し、そのURLに誘導するQRコードを生成します。
従来のメールセキュリティシステムでは、このQRコードに隠されたURLを検知することができません。
企業にも大きな被害が及ぶ可能性があり、多くの偽サイトが攻撃用に用意され、そこに誘導するためのQRコードを使った詐欺メールが確認されています。
さらに、多要素認証をも破るイービル・プロキシという高度な攻撃手法も存在し、ログイン情報や個人情報、クレジットカード情報が盗まれる危険があります。
個人がQRコードを読み取る際には、それが偽物でないかを確認し、違和感を感じた場合は読み込まないようにすることが重要です。
企業においては、メールセキュリティシステムのアップグレードや従業員の訓練が必要です。
高村の考え
サイバーセキュリティにおいて、「知る」と「知らない」とでは、対応に大きな差が出るのは間違いありません。
そのため、常に知識をアップデートすることが重要です。
私たちが直面する新しい攻撃手法に対して、積極的に情報を収集し、学ぶ姿勢が必要です。
QRコード攻撃の事例からもわかるように、少しでも違和感があれば、まずは疑いを持つことが重要です。
例えば、日常的に利用しているサービスから送られてくるメールにQRコードが含まれている場合、そのメールが正規のものであるかを確認することが求められます。
個人情報や企業の機密情報を守るためには、細心の注意を払う必要があります。
また、企業においては、従業員への教育が欠かせません。
攻撃手法を知り、それに対応するための訓練を定期的に行うことが、被害を未然に防ぐための鍵となります。
技術的な対策だけでなく、人的な対策も講じることで、総合的な防御体制を築くことが求められます。
サイバー攻撃の手法は日々進化しています。
私たち一人ひとりが、常に最新の情報を取り入れ、適切な対応を心掛けることで、より安全なデジタル社会を築いていくことができます。