QRコードは神秘的ではなく、リンクを画像に隠すのみ
ほとんどあらゆる場所でQRコードを見かけるようになりました。レストランでのオーダー、駐車料金の支払い、パッケージの受け取り、イベント登録、Wi-Fi接続、名刺、SNSのフォロー、PayPalの支払い、暗号財布の受取、さらにはGoogleフォームやWhatsAppの連絡先など、QRコードを使って完結します。 QRコード自体はウイルスでも危険技術でもありません。その役割は非常に単純で、情報をスマートフォンがスキャンできる画像に変換することです。この情報はURL、テキスト、支払いデータ、Wi-Fi設定、またはアプリのダウンロードリンクかもしれません。 本当のリスクは、スキャンしたQRコードが本当にそのサービスの提供元であるかどうかです。スキャン後に開かれるページが公式ウェブサイトに属しているかどうかです。もしQRコードが他のシールで覆われたり、置き換えられたり、多段階でリンクされていた場合、ユーザーは全く気づかないうちに偽のウェブサイトに誘導される可能性があります。
悪意のQRコードは日常シーンに存在する
悪意のQRコードは高技術な場面ではなく、日常の場所に存在することが多いです。 例えば、レストランのテーブルのQRコードが他のステッカーで覆われていると、顧客はそのレストランのメニューに入ったと思ったら、実際には偽の支払いページやフィッシングサイトに誘導されている可能性があります。駐車場の支払い看板にあるQRコードが置き換えられていると、利用者は見知らぬウェブサイトにクレジットカード情報を入力してしまうことがあります。パッケージの受け取り、関税の追加料金、イベント登録、偽の割引券、偽の抽選などもスキャンの流れとして包装されることがあります。 この種の詐欺は簡単に成功するため、スキャンする行動が自然すぎるからです。多くの人はスキャンした後、ページデザインが似ているかだけを見て、URLを確認しません。ページが公式に似ていていくらも大きくなく、プロセスがスムーズに見えると、多くの人が警戒心を下ろしてしまいます。
技術的な論理:QRコードは通常、最初の入口に過ぎない
技術的に言えば、QRコードは通常、入り口に過ぎません。直接ウェブサイトに指し示していることもあれば、短いリンクを経由して本当のページに跳ぶ場合もあります。これが、一部のQRコードからスキャンしたURLがbit.lyやt.coなどの短いリンクサービスに見える理由です。 短いURLは必ずしも危険ではなく、多くの正常な企業もマーケティングトラッキングのためにそれを使用します。しかし問題は、短いURLが最終目的地を隠してしまうことです。ユーザーはQRコードをスキャンする際に、最終的にどのウェブサイトに誘導されるかを確認できず、これがフィッシングページや偽の支払いページ、怪しいダウンロードのためのスペースを与えます。 高リスクな状況には以下が含まれます: 1. スキャン後にクレジットカードの完全情報を入力するよう求められる 2. スキャン後にGoogle、Apple ID、Facebook、または銀行アカウントへのログインを要求される 3. スキャン後にAPKやプロファイル、または不明なアプリのダウンロードを要求される 4. スキャン後に「アカウント異常」「支払い失敗」「すぐに確認」などが表示される 5. スキャン後に複数回リダイレクトされ、URLが非常に見知らぬものになる 6. スキャン後にSMS認証コードやEmail認証コードの提供を要求される もしQRコードが本来メニューを見るため、駐車料金を支払うため、またはイベント情報を確認するためのものであったのに、大量の機密情報を突然要求されるのであれば、それは不合理です。
スキャンして支払う際、最も注意が必要なのはURLと金額
支払いQRコードは最も注意が必要なタイプです。なぜなら、偽のページにクレジットカード情報、銀行情報、または支払い認証コードを入力してしまうと、後々の処理が非常に厄介になるからです。 スキャンして支払う前に、いくつか簡単な確認ができます。第一に、URLが信頼できるプラットフォームに属しているかどうかを見ること。第二に、ページに表示されている正しい商業名を確認すること。第三に、金額が現場の表示と一致しているかどうかを確認すること。第四に、見知らぬページに銀行のパスワード、Emailのパスワード、または完全な認証コードを入力しないことです。 一部の偽ページは故意に小額の支払いを要求します。例えば1ドル、数十円の駐車料金や少額の追加支払いです。この金額は高くは見えませんが、実際の目的はこの金額ではなく、クレジットカード情報および後続の認証コードです。
スキャン後にアプリのダウンロードを要求された場合は特に注意
QRコードをスキャンした後にアプリのダウンロードを要求された場合は、特に注意が必要です。正常な状態では、iPhoneユーザーはまずApp Storeからダウンロードすべきであり、AndroidユーザーはGoogle Playまたは信頼できるソースからダウンロードすべきです。スキャン後に直接APKをダウンロードしろと言われたり、安全警告を無視するように要求されたり、未知のソースからのインストールを開始するように求められた場合、警戒を高める必要があります。 怪しいアプリは過剰な権限を要求する可能性があります。例えばカメラ、マイク、位置情報、通知、SMS、連絡先、アクセシビリティサービスなどです。これらの権限が悪用されると、アカウント、通知内容、位置情報やデバイス情報が漏洩する可能性が高くなります。 特に「スキャンして特典を獲得」「スキャンしてセキュリティツールをインストール」「スキャンして返金処理」「スキャンしてアカウントを復元」といった言葉を見た場合、ページデザインだけにとらわれず、公式のアプリや公式ウェブサイトで確認することが重要です。
既にスキャンして情報を入力した場合は、何を入力したかを判断する
もしも怪しいQRコードをスキャンしてしまった場合、慌てないようにしましょう。最も重要なのは、自分が入力した情報を思い出すことです。 もしもページを開いたが何も入力しなかった場合、通常はリスクは低く、ページを閉じてブラウザ履歴をクリアすることができます。もしもクレジットカード情報を入力した場合、できるだけ早く銀行または発行機関に連絡してください。もしもGoogle、Facebook、Instagram、Apple ID、PayPal、またはEmailのパスワードを入力した場合は、公式の入口からパスワードを変更し、ログイン履歴を確認してください。 もしもSMS認証コード、銀行の認証コード、または支払い認証コードを入力した場合、リスクは高く、取引履歴やアカウントの安全設定をすぐに確認する必要があります。事件が支払い、プラットフォームのアカウント、または複数の怪しいページに関与している場合は、QRコード出現位置、スキャン時間、URL、ページキャプチャと入力した情報の種類を整理しておくと、後続の処理がより明確になります。
スキャンの前に一秒待つだけで、ほとんどのリスクを回避できる
QRコードは便利なツールであり、リスクがあるからといって完全に使わない必要はありません。本当に重要なのは、スキャンされた後にURLを確認し、ページの要求を確認し、そのシーンが合理的かどうかを考える習慣を身につけることです。 レストランでオーダーするためにQRコードをスキャンする場合、通常、銀行アカウントへのログインを要求するべきではありません。駐車場で料金を支払うためにスキャンする際、ページは駐車場や支払いプラットフォームと明確に関連しているべきです。イベント登録やパッケージ受取のページで、突然見知らぬアプリをダウンロードするように求められたり、過剰に機密情報を入力するように要求される場合は、確認するために立ち止まるべきです。 スキャンは非常に迅速ですが、安全な判断はゆっくり行うことができます。多くのQRコードのリスクは、技術が複雑だからではなく、人々がスキャンを終えたらそのまま行動する習慣に起因しています。パスワード、支払い情報、または認証コードを入力する前に、一度チェックを行うことで、ほとんどの偽の支払いページやフィッシングサイトを回避することができます。