新たなQRコードの脅威はスキャンするとすぐに携帯電話に感染する可能性がある

QR コード フィッシングや QR コード クイッシングは進化し、さらに危険なものになっています。

Silicon Angleの報道によると、脅威アクターは現在、QRコードに悪意のあるJavaScriptペイロードを埋め込んでおり、スキャンされるとすぐに実行されるようになっています。さらに悪いことに、標的のユーザーはポップアップ表示されるURLリンクをクリックすることなく、デバイスを乗っ取られてしまうのです。

これは、スキャン後に表示されるリンクをクリックするとユーザーを悪意のある Web サイトにリダイレクトする従来の QR コードの脅威とは異なります。

代わりに、この新しい手法では、データユニフォームリソース識別子（DRU）を使用して、生のHTMLとJavaScriptをQRコードに埋め込みます。つまり、ペイロードはブラウザ内で完全に実行され、ログインページを乗っ取ったり、キーロガーとして機能したり、即座にエクスプロイトを実行したりすることが可能になります。

悪意のあるJavaScriptは、一度アクティブになると、隠しフォームや指紋認証デバイスを使ってデータを盗み出すことも可能です。さらに懸念されるのは、これらの悪意のあるQRコードは、ペイロードがコード自体に組み込まれているため、実行時に外部URLと接触せず、ほとんどのセキュリティプログラム、ツール、システムを回避できることです。同様に、INKYのレポートでは、脅威アクターが既にこれらの新しいフィッシング手法を用いて危険なマルウェアを隠し、検出を回避していると付け加えています。

悪質なQRコードから身を守る方法

言うまでもないかもしれませんが、もう一度言います。知らないQRコードは絶対にスキャンしないでください。不明なQRコードや、一方的な送信元からのQRコードは、絶対にスキャンしないでください。

何らかのアクションやアクティビティを完了するためにQRコードをスキャンするよう求めるメールやテキストメッセージを受け取った場合、特に緊急性がある場合は、リクエストを送信したメールやテキストメッセージに返信するのではなく、送信者に直接連絡し、既知の電話番号、チャットチャネル、または会社の連絡先を通じて連絡してください。送信者が、あなたが単独でコードをスキャンする必要があるかどうかを確認してください。

QRコードをスキャンした後、アクセスしているウェブサイトが正当なものであると確信が持てない限り、ログイン情報やその他の個人情報を絶対に提供しないでください。URLが問題ないように見えても、注意深く確認してください。

同時に、モバイルOSまたはQRコードスキャナーアプリで、ブラウザを自動的に開く機能を無効にすることも重要です。これにより、リンクを確認する前にスキャナーがリンクを開いてしまうのを防ぐことができます。また、開く前にURLが表示されるQRコードスキャナーを使用することをお勧めします。

あらゆるフィッシング詐欺と同様に、緊急性や脅迫的なメッセージ（メール、テキストメッセージ、ソーシャルメディア）には、細心の注意を払い、疑念を抱くようにしてください。アカウントが無効化される、法的措置が取られる、アカウントが停止される、不正ログインがある、今すぐ行動を起こす必要があるといった脅迫を含むメッセージは、潜在的な攻撃と見なしてください。

QR コード付きの疑わしいメールを受信した場合は、職場の IT チームまたはセキュリティ チームに報告してください。ただし、個人アカウントに QR コードが表示された場合は、いつでもスパムまたはフィッシングの可能性があるメールとして報告できます。

QRコードがこれほど普及し、レストランなどの公共の場で人々がQRコードをスキャンすることに慣れてきたことを考えると、この脅威がすぐになくなるとは思えません。GoogleとAppleが、AndroidとiPhoneユーザーを悪質なQRコードから守るための対策を実装してくれることを期待しています。

Tom's Guideのその他の記事

• 12年経った今でもハッカーは私のアカウントに侵入しようとしている。どうやってそれを阻止したのか
• TP-Linkのルーター3機種がハッカーの標的に - 知っておくべきこと
• Gmailユーザーなら、これらの重要なセキュリティ対策を実施しましょう