米連邦捜査局(FBI▼)のインターネット犯罪苦情センター(IC3▼)は2022年1月中旬、QRコードを悪用したサイバー攻撃について注意を呼びかけた▼。
攻撃者はQRコードを使って悪質サイトにユーザーを誘導し、個人情報を盗んだりマルウエア(コンピューターウイルス)に感染させたりする。QRコードを使ったフィッシング詐欺といえるだろう。
10年以上前からセキュリティー企業などが警告している古い手口だ。なぜ今回、改めて注意喚起したのだろうか。
米テキサス州の複数の市で確認
理由の1つは、QRコードの大規模な悪用を確認したためだと考えられる。米テキサス州の複数の市において、偽の支払いサイトに誘導するQRコードをパーキングメーターに貼り付ける詐欺が確認されたのだ。
地元メディアなどによると、サンアントニオ市で最初に見つかったようだ。2021年12月下旬、同市のパーキングメーター100カ所以上において不正なQRコードのステッカーを発見。同市の公式WebサイトやTwitterなどで注意を呼びかけた。その後、オースティン市やヒューストン市でも見つかった。
サンアントニオ市から報告を受けたオースティン市の職員が市内約900カ所のパーキングメーターを調べたところ、29カ所で不正なQRコードを見つけ、2022年1月3日に注意喚起した▼(図1)。
1月5日には、ヒューストン市のパーキングメーター5カ所に同様のQRコードが見つかった。
いずれの市のパーキングメーターにおいても、駐車料金はその場で現金あるいはクレジットカードで支払うか、専用アプリで支払う。専用アプリで支払う場合は、パーキングメーターに記されたゾーン番号や駐車時間などを手で入力して精算する。どのような場合でもQRコードは一切使わない。
攻撃者は、このような事情を知らないユーザーをターゲットにしている。具体的な手口は次の通り(図2)。パーキングメーターには、専用アプリで支払うために必要なゾーン番号などが書かれている。そこに、偽サイトに誘導するQRコードのステッカーだけを貼り付ける。事情を知らないユーザーがスマートフォンでそのQRコードを読み込むと、「Quick Pay Parking」などと表示される偽の支払いサイトに誘導される。ここで料金支払いのためとしてクレジットカード情報などを入力させて詐取する。
現時点では、具体的な被害は報告されていないもようだ。偽の支払いサイトも閉鎖されている。ただ、いずれの市も被害者がいる可能性があるとして、思い当たる利用者は警察に通報するとともにクレジットカード会社に連絡するよう呼びかけている。加えて、料金の支払いにQRコードは一切使用しておらず、今後も使用することはないと強調している。
