クイッシングは、QRコードを使って偽サイトへ誘導するフィッシング詐欺の一種です。
この記事では、よくある誘導の流れと、読み取る前後に確認したい基本対策を解説します。
クイッシングの概要
QRコードは、スマートフォンのカメラで読み取るだけでWebサイトを開ける便利な仕組みです。
一方で、読み取る前にリンク先の内容が分かりにくいため、偽サイトへの誘導に悪用されることがあります。
クイッシングでは、利用者に本物らしいQRコードを読み取らせ、ID、パスワード、クレジットカード情報、認証コードなどを入力させようとします。
見た目だけでは本物と区別しにくい場合があるため、読み取った後の確認が重要になります。
よくある誘導の流れ
- 公共料金、配送、駐車場、店舗案内など、日常的にQRコードを使いそうな場面を装います。
- 紙の案内、メール、SMS、SNS投稿、チラシなどにQRコードを載せ、急いで読み取らせようとすることがあります。
- 本物の案内に見せかけた偽QRコードを貼り付け、正規のQRコードを上から隠す手口もあります。
- 読み取り後のページで、ログイン、支払い、本人確認、期限内の手続きなどを求める場合があります。
- 入力した情報が攻撃者に渡ると、不正ログインや不正利用につながるおそれがあります。
見分けるときの確認ポイント
- 読み取った後に表示されるURLを確認し、会社名やサービス名に似せた不自然な文字列がないか見ます。
- 短縮URLや意味の分からない英数字だけのURLは、リンク先を判断しにくいため慎重に扱います。
- QRコードのシールが上から貼られている、印刷物の一部だけ質感が違うなど、物理的な違和感にも注意します。
- 支払い、パスワード入力、認証コード入力を急がせる表示は、いったん操作を止めて確認する対象です。
- 見慣れたロゴや画面でも、URLが正しいとは限りません。見た目だけで判断しないことが大切です。
取るべき基本対策
- QRコードを読み取った後、すぐに個人情報や決済情報を入力せず、表示されたURLを確認します。
- 重要な手続きは、QRコードからではなく、公式アプリやブックマーク済みの公式サイトから開き直します。
- 紙の掲示物やチラシのQRコードは、貼り替えや上貼りがないかを見てから利用します。
- SMSやメールで届いたQRコードは、送信元が本物に見えても、内容を急がせる場合は慎重に扱います。
- 誤って入力した可能性がある場合は、すぐにパスワード変更、カード会社やサービス窓口への連絡などを行います。
まとめ
クイッシングは、QRコードの便利さとリンク先の見えにくさを悪用するフィッシングです。
QRコードそのものを過度に怖がる必要はありませんが、読み取った後に開くページと入力を求められる情報を確認する姿勢が欠かせません。
特に、支払い、ログイン、本人確認、認証コード入力を求められたときは、公式アプリや公式サイトから開き直すのが基本です。
迷った場合は、案内に書かれた連絡先ではなく、公式に確認できる窓口を使うようにします。
情報セキュリティに関する技術的なご相談 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
情報処理推進機構(IPA)の「情報セキュリティに関する技術的なご相談」に関する情報です。
www.ipa.go.jp
あなたを守るツール
- パスワード管理アプリ: パスワード使い回しによる芋づる被害を防ぐ。
- セキュリティソフト: ウイルスやフィッシングサイトを自動でブロック。
