QR コードを使用すると、スマートフォンの小さなキーボードで苦労することなく、Web ベースのリソースに簡単にアクセスできます。しかし、スキャンすると何が得られるか本当に知っていますか?
QRコード
クイック レスポンス (QR) コード が突然、再びあらゆる場所に登場します。トヨタの子会社であるデンソーウェーブの 受賞歴のあるチーム によって 1994 年に発明された QR コードは、ほぼすべての業界に浸透しました。ステロイドの バーコード のようなものです。酔っぱらったチェス盤のように見えるかもしれませんが、豚のような黒と白の四角形には、バーコードの縞模様よりもはるかに多くの情報が含まれています。また、QR コードは、スキャン デバイス (通常はスマートフォン) 内で選択されたアクションの 1 つをトリガーできます。
QRコードは商品パッケージやバス停、看板などに記載されております。それらは、チケット、チラシ、バーマットなどの印刷された販促物に印刷されています。社用車や店内プロモーション、展示会のポップアップスタンドなどで見かけることができます。プロモーションされている製品、イベントなどについて詳しく知りたいですか?スマートフォンでコードをスキャンします。
QR コードはサーバーやその他のハードウェアの中に隠されていることがあります。訪問した技術者がマニュアルを参照する必要があるが、コピーが手元にない場合は、QR コードをスキャンしてオンラインでマニュアルにアクセスできます。
LinkedIn モバイル アプリを使用している場合は、検索バーの四角形のクラスターをタップし、[マイ コード] をタップします。あなた自身の個人用 QR コードが表示されます。人々をあなたの LinkedIn プロフィールに直接誘導します。これらを履歴書に追加する人が増えています。 墓地 でも QR コードを見ることができます。
新型コロナウイルス感染症(COVID-19)のパンデミックは、QR コードのルネサンスを加速させました。 QR コードの利点は、使用するために自分のスマートフォン以外のものに触れる必要がないことです。これは迅速かつ簡単な非接触システムであり、誰もがすでに適切なスキャナーを持ち歩いています。そのため、パンデミック時に情報にアクセス、または情報を収集するための完璧なメカニズムとなります。
新型コロナウイルス感染症(COVID-19)の出現により、日常的に一般の人々とやり取りする多くのビジネスで QR コードが中心的な位置を占めるようになったのはそのためです。たとえば、レストランは QR コードを使用して、客のスマートフォンにメニューを表示しています。いつからレストラン内を巡回してきた印刷されたメニューを扱う必要はありません。
英国では、 国民保健サービスの 追跡 アプリケーションは QR コードに基づいています。会場には、場所固有の QR コードが記載されたカスタム ポスターが表示されます。訪問者がコードをスキャンすると、アプリがあなたがいつどこにいたかを記録します。誰かが新型コロナウイルス感染症の症状を報告すると、NHS サーバーはデータを処理して、その人と接触した人を割り出します。
QRコードの問題
消費者向け QR コードの最も一般的な用途は、スマートフォンで Web ページを起動することです。しかし、彼らはそれ以上のことができるのです。 QR コードは、QR コードに含まれる情報に応じてスマートフォン上でさまざまなアクションを呼び出すことができます。
Web リンクをクリックする前に、Web リンクに不整合がないか視覚的に確認することがあるでしょう。表示される Web ページの名前が合理的で妥当なものであることを確認することは理にかなっています。本当に、表示されているサイトに誘導されるのでしょうか、それともログイン資格情報を盗む模倣サイトに誘導されるのでしょうか? QRコードだと分かりません。肉眼では完全に侵入不可能であり、人間がその内容を読み取ることはできません。 QR コードをスキャンするのは思いつきです。
私たちのスマートフォンは、現実世界のアイデンティティのアバターです。彼らは、オンライン バンキング、PayPal、暗号通貨ウォレットなどのアプリへのアクセスだけでなく、攻撃者にとって非常に貴重なあらゆる種類の個人データを保持しています。侵害されたスマートフォンは、侵害されたコンピュータと同じくらい悪いです。
スマートフォンは、人々のプライベートなデジタル ライフと会社や職場のデジタル ライフの間の境界線を曖昧にします。会社用のスマートフォンを支給されている人の中には、私用のスマートフォンも持っている人もいます。大多数にとっては、1 台のスマートフォン (会社用スマートフォン) を持ち、それをビジネスでも個人でも使用する方が簡単で安価です。
個人で Web を使用する場合、企業で使用する場合に比べてセキュリティに対する意識が低くなる傾向があります。しかし、スマートフォンが侵害されると、VPN や他のアカウントへの接続の詳細がマルウェアによって収集される可能性があるため、企業ネットワークが危険にさらされます。ビジネスメールもデバイスから吸い上げられる可能性があります。
もちろん、業務用スマートフォンを持たない従業員は私用スマートフォンを持ち、それを社内Wi-Fiに接続することになるだろう。プライベートのスマートフォンは、 VPN や エンドポイント保護スイート によって保護される可能性は低くなります。
会社のスマートフォンであっても個人のデバイスであっても、侵害されたスマートフォンが企業ネットワークに接続するとリスクが生じます。
また、スマートフォンは職場でも危険にさらされる可能性があります。 履歴書 や 履歴書 に QR コードを含めることがより一般的になってきています。申請者の個人ブログや LinkedIn プロフィールに誘導される場合や、悪意のあるものである可能性があります。 QR コードが記載された偽の履歴書を送信することは、紙ベースの攻撃でスマートフォンを侵害する地味な方法です。
QRコードで何ができるの?
QR コードは、スマートフォン内でさまざまなアクションをトリガーできます。
- ウェブサイトを立ち上げる。 悪意のあるものである場合は、コピーキャット認証情報収集サイトである可能性や、スマートフォンが トロイの木馬 に感染する可能性があります。その後、マルウェアは脅威アクターのサーバーに接続します。データがスマートフォンからサーバーに転送されたり、他のマルウェアがスマートフォンにダウンロードされたりする可能性があります。
- 悪意のあるエントリを連絡先に追加します。 悪意のある情報を含む特別に細工された連絡先エントリがスマートフォン上でエクスプロイトを引き起こす可能性があります。
- Wi-Fi ネットワークを追加して接続します。 これは悪意のあるネットワークまたは侵害されたネットワークである可能性があります。
- 支払いをします 。 多くの場合、慈善団体に寄付するという口実で、悪意のある QR コードによって支払いが行われ、攻撃者が個人情報やアカウントの詳細を取得できるようになります。
- 音声電話をかけます。 その電話が脅威アクター宛の場合、攻撃者はあなたの電話番号と発信者 ID 情報を入手します。彼らはソーシャルエンジニアリングによってあなたから他の情報を聞き出そうとするかもしれません。
- SMS テキスト メッセージ を作成します。 QR コードを使用すると、攻撃者 (または攻撃者が選んだ人) に宛てたテキスト メッセージを作成できます。これにより、 スミッシング攻撃 として知られるテキストベースの フィッシング攻撃 にさらされることになります。
- 受信者と件名が事前に入力された電子メールを作成すると、 電子メール フィッシング攻撃にさらされます。
- サインアップしてソーシャル メディア アカウントをフォローしてください。 ソーシャル メディア アカウントへの投稿には、被害者がタップするリンクが含まれており、携帯電話にマルウェアがダウンロードされます。
QR コードを使用してカレンダーにエントリを作成したり、スマートフォンの GPS から位置情報を取得したりすることもできますが、 これらによって侵害が発生する可能性は低くなります。
まず考えて、後でスキャンする
QR コードではコンテキストが最も重要です。コードはどこにありますか?コードの所有者または提供者は誰ですか?電信柱にホッチキスで留められた手作りのチラシに載っていたとしても、その信憑性を保証することはできません。そのコードの出所がわかりません。 QR が医師の手術や病院の受付エリアにある専門的に印刷されたポスターに掲載されていれば、そのコードが本物であるという確信が高まります。
ただし、別の QR コードが紙ラベルに印刷され、本物のコードの上に貼り付けられていないことを確認してください。 QR コードが良性か悪意があるかは、見ただけではわかりませんが、改ざんや変更の兆候を見つけることはできます。不正行為が行われたと思われる場合は、スキャンしないでください。
Web サイトを起動する前、または実際に他の操作を実行する前に、QR コード スキャン アプリの設定を確認し、Web アドレスを表示するように設定してください。 QR コードの使用に人間によるレビューを導入する必要があるのは残念です。QR コードは「スキャンして完了」という苦痛のないワークフローを実現するように設計されていますが、サイバー犯罪と戦うには継続的な努力が必要です。
