巧妙に偽装されたQRコードを読んだことでスマホを乗っ取られ銀行預金を盗まれてしまった事例

QRコードは、スマートフォンのカメラに収めるだけでサイトにアクセスできたり、QRコード決済で手軽にものを買えたりするので便利ですが、QRコードには悪用の危険も潜んでいます。何気なくQRコードを読み取ったことで銀行預金を失うことになってしまった2つの事例が、アジアと欧米から立て続けに報告されました。

Woman who scanned QR code with malware lost $20k to bubble tea survey scam while she was sleeping | The Straits Times
https://www.straitstimes.com/singapore/woman-who-scanned-qr-code-with-malware-lost-20k-to-bubble-tea-survey-scam-while-she-was-sleeping

SF parking ticket scam going around in city: Here's what to look out for
https://www.kron4.com/news/bay-area/sf-parking-ticket-scam-going-around-in-city-heres-what-to-look-out-for/

QR codes used in fake parking tickets, surveys to steal your money
https://www.bleepingcomputer.com/news/security/qr-codes-used-in-fake-parking-tickets-surveys-to-steal-your-money/

1件目の事例は、タピオカティーショップに立ち寄ったことでステルス詐欺に遭い、2万ドル(約270万円)を盗み取られてしまったシンガポールの女性の被害です。

この女性は、ショップのガラス扉に貼られた「QRコードをスキャンしてアンケートに答えるとタピオカティーが1杯無料」とのうたい文句に惹かれて、QRコードをスキャンしてアプリを入手し、アンケートに回答しました。

しかし、このアンケートアプリは偽物で、その夜女性が眠りに就こうとベッドに入ると突然スマートフォンの画面が点灯し、偽アプリが銀行口座から2万ドルを盗み取ったことが判明しました。

シンガポールの地方銀行であるオーバーシー・チャイニーズ銀行の金融犯罪コンプライアンス部門で不正防止責任者を務めるBeaver Chua氏は、地元紙のThe Straits Timesに対し、「マルウェア詐欺自体は新しいものではありませんが、詐欺師はますます革新的になってきています。消費者には正規のQRコードと悪意のあるQRコードが見分けられない可能性があるので、飲食店の外にQRコードを貼り付けるのは巧妙な手段と言えます」と話しました。

このような悪意あるQRコードを読んでしまうと、まずスマートフォンにマルウェアアプリがインストールされます。このアプリは、スマートフォンのマイクとカメラへのアクセスを許可するようユーザーに求めます。また、Androidのユーザー補助機能を通じて画面をコントロールすることもあります。

こうしてスマートフォンが乗っ取られた後、詐欺師は被害者がインターネットバンキングを利用するのを待ってログイン情報を読み取ります。後は、スマートフォンのカメラを見ながら被害者の行動パターンを監視し、寝ている間に顔認証機能などのセキュリティを無効化させ、銀行口座に侵入して預金を盗み出します。

セキュリティ企業・カスペルスキーの東南アジア担当ゼネラルマネージャーであるYeo Siang Tiong氏は、事業者は知らない間に敷地内に貼られた販促ステッカーやQRコードに警戒する必要があると指摘した上で、顧客には「QRコードが改ざんされていたり、不審に思われたりする場合は、その店に相談してみることを検討してください」とアドバイスしていると話しました。

一方アメリカやイギリスでは、自動車のフロントガラスに偽の駐車違反切符を貼り付ける詐欺が横行しています。例えば、掲示板型ソーシャルニュースサイトのRedditでは、以下のようなQRコード詐欺が報告されました。

詐欺、サンフランシスコの u/hamsupchoi
による 偽の駐車券PSA

この駐車違反切符にはサンフランシスコ市のロゴが入っていますが、実際は偽物です。しかし、QRコードを読み取ると短縮URLが表示され、その後本物のサンフランシスコ市交通局公式サイト(右)にそっくりな偽サイト(左)にリダイレクトされるので、詐欺に気づくことは困難です。

by KRON4

この詐欺を報じたサンフランシスコのテレビ局・KRON4によると、偽サイトには罰金の支払いページへのリンクが張られており、アクセスすると駐車違反切符の番号の入力が要求されるとのこと。しかし、どんな番号を入力しても結果は同じで、決済サービス・Squareへのリンクが表示され60ドル(約8000円)を支払うよう求められます。この問題が明らかになった後、偽サイトのドメインとSquareアカウントは無効化されました。

サイバーセキュリティに詳しいジャーナリストのキム・ゼッター氏は、IT系ニュースサイトのBleeping Computerに、「このような詐欺を見るのはこれで2回目です。前回は、テキサス州のパーキングメーターにつけられた悪質なQRコードでした。このサンフランシスコの事例では、詐欺師が被害者の車に偽の駐車違反切符を貼り、被害者がその悪意あるQRコードを読み取ると、偽のウェブサイトに誘導し罰金を支払わせようとします」と述べました。

犯罪者にとって好都合なことに、本物のサンフランシスコ市交通局もサードパーティーのドメインで提供される罰金支払いサイトを使用しているため、脅威アクターが設置した偽サイトとの区別が一層難しいものになっています。

偽の駐車違反切符を使ったQRコード詐欺は、イギリスでも発生しています。イギリス南部のワイト島の行政を担うワイト島評議会は、公式サイトで「駐車場の機械に貼り付けられた偽のQRコードで駐車料金を支払おうとしてしまい、銀行口座からお金を引き出された人がいます」と警告し、注意を呼びかけました。

記事作成時点のところ、ワイト島の駐車場ではQRコードによる料金支払いを提供していないとのこと。詐欺事件の発生を受けて、ワイト島ではパーキングメーターの周囲に不審なQRコードが貼り付けられていないか確認する措置が講じられました。