悪意のあるモバイルショートカットから身を守る方法をご紹介します。
(MobileIronの製品管理担当シニア・バイス・プレジデント Brian Foster)

最近はどこにでもQRコードがあるような気がします。
日本の自動車産業で製造工程の合理化に使われて以来、あらゆる企業がQRコードの利点を活用してきました。
そのため、小売業から医療業界まであらゆる業界で、ウェブサイト、プロモーションキャンペーン、店舗の割引、患者のカルテ、モバイル決済など、人々を素早く簡単にリンクさせる方法として利用されています。

QRコードは費用対効果が高く、使いやすいだけではありません。
特に非接触取引が当たり前になっているパンデミック時には欠かせないものです。
さらに、現在、アメリカ人の少なくとも81％がスマートフォンを所有しており、それらのデバイスのほぼすべてが、サードパーティ製のアプリを必要とせずにQRコードをネイティブに読み取ることができます。
つまり、QRコードは明らかに今が旬なのです。

数字が語ること

私の会社であるMobileIronは、現在のQRコードのトレンドをよりよく理解したいと考え、9月に米国と英国の2,100人以上の消費者を対象に調査を実施しました。
例えば、過去6ヶ月間では、モバイルユーザーの3分の1以上がレストラン、バー、小売店、または消費者向け製品にQRコードをスキャンしています。

この結果は、いくつかの憂慮すべき傾向も浮き彫りにしています。
モバイルユーザーはQRコードの潜在的なリスクを理解しておらず、回答者の4分の3近く（71％）が正規のQRコードと悪質なQRコードの区別がつかないということです。
同時に、調査対象となったユーザーの半数以上（51％）が、自分のデバイスにモバイルセキュリティを導入していない（または導入しているかどうかわからない）と回答しています。

私たちの生活の一部になっているように感じる多くのものと同様に、私たちはQRコードをあまり気にしていません。
モバイルデバイスは、スワイプ、タップ、クリック、支払いといった素早い行動を取るように私たちを条件付けてきましたが、その一方で、仕事、買い物、食事（そして残念ながら、そう、運転）など他のことに気を取られています。

これはまさに、ハッカーが好む暗黙の信頼と軽率な行動です。
従業員が個人のモバイルデバイスを使ってビジネスアプリにアクセスしたり、潜在的に危険なQRコードをスキャンしたりしている場合、企業のIT部門はモバイルセキュリティのアプローチをもっと詳しく見直す必要があります。

では、具体的にQRコードのリスクは？

実際のQRコードをハックするには、コードのマトリックスのピクセル化されたドットの周りを変更するために、いくつかの深刻なスキルを必要とします。
ハッカーたちは、代わりにはるかに簡単な方法を考え出しました。
これは、QRコード（インターネット上で広く利用できる無料ツールで生成できる）に悪意のあるソフトウェアを埋め込むというものです。
平均的なユーザーには、これらのコードはすべて同じように見えますが、悪意のあるQRコードはユーザーを偽のウェブサイトに誘導することができます。
また、個人データをキャプチャしたり、このようなアクションを開始するスマートフォンに悪意のあるソフトウェアをインストールしたりすることもできます。

・連絡先リストを追加する
ハッカーは、ユーザーの携帯電話に新しい連絡先リストを追加し、それを使用してスピアフィッシングやその他のパーソナライズされた攻撃を開始することができます。
・電話を開始する
詐欺師への電話をトリガーにして、このタイプの悪用は、電話番号を悪者に晒すことができます。
・誰かにメールを送る
悪意のある受信者にテキストメッセージを送信するだけでなく、ユーザーの連絡先が詐欺師からの悪意のあるテキストを受信する可能性があります。
・メールを書く
悪質なテキストと同様に、ハッカーはメールの下書きをして、受信者と件名を入力することができます。
デバイスにモバイル脅威対策が施されていない場合、ハッカーはユーザーの仕事用メールを標的にする可能性があります。
・支払いを行う
QRコードが悪意のあるものであれば、ハッカーが自動的に支払いを行い、ユーザーの個人的な金融データを取得することができます。
・ユーザーの位置を明らかにする
悪意のあるソフトウェアは、ユーザーの地理的位置を無言で追跡し、そのデータをアプリやウェブサイトに送信することができます。
・ソーシャルメディアアカウントをフォローする
ユーザーのソーシャルメディアアカウントを悪意のあるアカウントのフォローに誘導し、ユーザーの個人情報や連絡先を公開することができます。
・優先的なWi-Fiネットワークを追加する
侵害されたネットワークをデバイスの優先ネットワークリストに追加し、そのネットワークにデバイスを自動的に接続する証明書を含めることができます。

すべてのリスクを最小限に抑えるための行動

これらの悪用は恐ろしいものですが、避けられないものではありません。
QR コードのリスクについてユーザーを教育することは良い第一歩ですが、企業はスピアフィッシングやデバイスの乗っ取りなどの脅威から身を守るためにモバイルセキュリティを強化する必要があります。

ユーザーができること

・まずはよく見てみましょう
QRコードが合法であることを確認してください。特に印刷されたコードは、別の（そして潜在的に悪意のある）コードで貼り付けられる可能性があります。

・信頼できる団体からのコードのみをスキャンしてください
モバイルユーザーは、信頼できる送信者からのコードのみをスキャンするようにしましょう。
会社のURLとは異なるウェブアドレスなどの警告に注意を払い、悪意のあるサイトにリンクしている可能性があります。

・bit.lyのリンクに注意してください
QRコードをスキャンした後に表示されるbit.lyリンクのURLを確認してください。これらのリンクは、悪意のあるURLを偽装するためによく使用されますが、URLの最後にプラス記号（「+」）を追加することで、安全にプレビューすることができます。

企業ができること

フィッシング攻撃、デバイスの乗っ取り、中間搾取、悪意のあるアプリのダウンロードから保護することができるオンデバイス・モバイル脅威防御ソリューションを使用していることを願っています（そうでない場合は、今すぐ探し始めましょう！）。
企業のセキュリティは、ビジネスアプリやデータにアクセスするすべてのデバイスに導入する必要があります。また、何から保護するのか（また、何から保護しないのか）についてユーザーに教育してください。

他に何もしないのであれば、今日のデータ漏洩の原因のトップの1つである、業務アプリやクラウドアプリへのパスワードベースのアクセスを排除することを検討すべき時です。
パスワードレスの多要素認証に移行することで、パスワードを盗まれる脅威がなくなるだけでなく、パスワードを管理する手間も省けるので、ハッカーを除くすべての人がより幸せになり、生産性が向上します。

元記事
https://threatpost.com/qr-codes-sneaky-security-threat/159757/

—-
確かにQRコードは非常に手軽で、設置する側もコストが安価で済むというメリットがある。
モバイル機器も多くのものが対応し、素早くアクセスできるのが使われている要因だと思う。
この記事のようにアクセスしたURLの判別を行えるユーザーは多くないだろう。
正規のQRコードの隣に、誰かが悪意のあるQRコードを置いてアクセスさせるとか、企業の郵便受けに悪意のあるQRコードを入れて内部からアクセスさせるという事象も既にあると思われる。
悪意のあるQRコードを踏んでも内部へのアクセスにはブロックするなど、デバイスは実装されてきているが、利用する側の意識として今まで以上に注意が必要なのではないかと考えさせられる。