街角のQRコード上に別のコードを貼り付け他サイトへ飛ばす手法に注意喚起

駅の構内や商業施設に貼られているポスターには、公式サイトへの誘導のためにQRコードが用いられていることがありますが、このQRコードの上に悪意ある異なるQRコードを貼り付けてコードを読み取った人をフィッシングサイトへと誘導するという悪質な手法が広がっており、専門家が注意を喚起しています。

That square QR barcode on the poster? Check it's not a sticker • The Register
http://www.theregister.co.uk/2012/12/10/qr_code_sticker_scam/

Malicious QR codes pop up on traffic-heavy locations
http://www.net-security.org/secworld.php?id=14099

シマンテックのWarren Sealey氏によると、以前からスパムに悪意あるサイトへのリンクを仕込んだQRコードを添付するなどの手法が使われてきましたが、最近はこれに加えて、既存のQRコードの上に不正なQRコードを貼り付ける手法が増加しているとのこと。

QRコードには、わざわざURLを入力しなくても、読み取りアプリを使えば携帯電話のカメラをかざすだけでウェブサイトにアクセスしたり、格納された情報を読み取れるというメリットがありますが、そこを突かれた形です。

手法としては、人通りの多いところに宣伝目的で張られているQRコードの上に、フィッシングサイトなどへリンクしている不正なQRコードを印刷して貼り付け、あたかも普通のQRコードのような顔をして通行人に読み取らせようとするというもの。

By nickj365

西欧の観光地では、教会や歴史的建造物の情報をQRコードで提供していたりしますが、これが悪意あるコードにすり替わっているというわけ。

By alans1948

シマンテック・イギリスでセキュリティ戦略を担当しているSian John氏は、ここ2～3年でQRコードの数が爆発的に増えてサイバー犯罪者たちがその利点をフルに活用していると指摘。QRコードは見た目だけでは本物か偽物か見分けが付かないので、フィッシングサイトやマルウェアサイトに容易に人を送り込むことができると語っています。

By spektrograf

これに対応するために、QRコードリーダーは読み取った時点でリンク先のサイトが危険ではないか確認できるものを利用するように、と注意喚起しています。プロモーション目的でQRコードを使用している人は、リンク先は短縮URLではなく、一目で公式サイトだとわかるものにしておいた方がよさそうです。