皆さんこんにちは。
プライバシーザムライ中康二です。
SNSを見ていると、ある自動車用品販売店のチラシについていたQRコードをスキャンしたら、詐欺サイトに飛ばされてカード情報を盗まれたとの内容がありました。
当社でもチラシを作成する際にQRコードを活用していることもあり、何が危険なのか、考察してみましたので、共有したいと思います。
結論から申し上げますと、QRコード単体にはそれほどの問題はないと分かりました。表示させたいURLを正しくそのままQRコードに変換してくれるサービスを使ってQRコードを作成した場合には、そのQRコードを配布してもそれほど大きな問題にはならなさそうです。しかし、QRコードと短縮URLを合わせて提供されている場合があり、その場合には問題が起こってもおかしくないということです。
例えば、本記事のタイトル画像に当社のWebサイトをQRコードに変換したものをiPhoneで読み込ませた時のスクリーンショットを貼っていますが、きちんと当社のURLが見えています。このようにリンク先を目で見て、それが問題のないサイトであることがドメインで分かるのであれば、そのQRコードを開いても問題はないのだと思います。
しかし、このURLが「bit.ly」のような短縮URLだった場合、リンク先がどのドメインなのかは開いてみないと分かりません。もしかしたらウイルスをダウンロードするURLやクレジットカードを詐取するサイト(以下、不正サイトと記載します)の可能性もあります。もちろん著名な短縮URLサービスは、不正サイトを短縮URLの転送先に設定できないようにしていますが、もしかしたらチェックをすり抜けるかもしれませんし、著名ではない短縮URLサービスの場合にはチェックが行われていないかもしれません。
また、短縮URLの中にはまず広告ページに転送して、そこから本来の転送先URLに転送するようにしているものもあり、その広告ページに不正サイトへのリンクを貼った広告が表示されている可能性もあります(冒頭の自動車用品販売店のケースでは短縮URLの転送先が広告ページで、そこの広告をクリックしたために不正サイトに飛ばされたようです)。
つまり、QRコードをスキャンする場合には、そのQRコードによって飛ばされる先のページのドメインを確認することで、それが安全なのかどうかを判断する必要があるということです。そんなドメインなんて、、、と言われるかもしれませんが、今の時代、ドメインを目視することが自分の身を守る手段であることもまた事実です。
自動車用品販売店のチラシの件
https://togetter.com/li/2257076
食品スーパーでの事例
https://www.inageya.co.jp/files/pdf/231109.pdf
フィッシング詐欺は見ただけでは見抜けない~高まるドメインの重要性~
https://www.pmarknews.info/Information_security/52086819.html
この内容が皆さんにとって何かの参考になればと思います。
また、何か情報が入りましたら、皆様にシェアいたしますね。
プライバシーザムライ
中 康二
