【注意喚起】短縮URLを使ったQRコードの配布/読取りには十分注意しましょう | オプティマ・ソリューションズ株式会社 オプティマ・ソリューションズ株式会社
助太刀記事の背景画像 雲の装飾
の画像

助太刀記事

【注意喚起】短縮URLを使ったQRコードの配布/読取りには十分注意しましょう

QRコードの読み取り画面
プライバシーザムライのアバター
プライバシーザムライ

プライバシーザムライ 中 康二です(オプティマ・ソリューションズ株式会社 代表取締役)。ソニー出身。プライバシーマークとISMSの専門家。個人情報保護/情報セキュリティに関して、最新の情報を皆様にわかりやすく発信しています。

皆さんこんにちは。
プライバシーザムライ中康二です。

SNSを見ていると、ある自動車用品販売店のチラシについていたQRコードをスキャンしたら、詐欺サイトに飛ばされてカード情報を盗まれたとの内容がありました。

当社でもチラシを作成する際にQRコードを活用していることもあり、何が危険なのか、考察してみましたので、共有したいと思います。

結論から申し上げますと、QRコード単体にはそれほどの問題はないと分かりました。表示させたいURLを正しくそのままQRコードに変換してくれるサービスを使ってQRコードを作成した場合には、そのQRコードを配布してもそれほど大きな問題にはならなさそうです。しかし、QRコードと短縮URLを合わせて提供されている場合があり、その場合には問題が起こってもおかしくないということです。

例えば、本記事のタイトル画像に当社のWebサイトをQRコードに変換したものをiPhoneで読み込ませた時のスクリーンショットを貼っていますが、きちんと当社のURLが見えています。このようにリンク先を目で見て、それが問題のないサイトであることがドメインで分かるのであれば、そのQRコードを開いても問題はないのだと思います。

しかし、このURLが「bit.ly」のような短縮URLだった場合、リンク先がどのドメインなのかは開いてみないと分かりません。もしかしたらウイルスをダウンロードするURLやクレジットカードを詐取するサイト(以下、不正サイトと記載します)の可能性もあります。もちろん著名な短縮URLサービスは、不正サイトを短縮URLの転送先に設定できないようにしていますが、もしかしたらチェックをすり抜けるかもしれませんし、著名ではない短縮URLサービスの場合にはチェックが行われていないかもしれません。

また、短縮URLの中にはまず広告ページに転送して、そこから本来の転送先URLに転送するようにしているものもあり、その広告ページに不正サイトへのリンクを貼った広告が表示されている可能性もあります(冒頭の自動車用品販売店のケースでは短縮URLの転送先が広告ページで、そこの広告をクリックしたために不正サイトに飛ばされたようです)。

つまり、QRコードをスキャンする場合には、そのQRコードによって飛ばされる先のページのドメインを確認することで、それが安全なのかどうかを判断する必要があるということです。そんなドメインなんて、、、と言われるかもしれませんが、今の時代、ドメインを目視することが自分の身を守る手段であることもまた事実です。

自動車用品販売店のチラシの件
https://togetter.com/li/2257076

食品スーパーでの事例
https://www.inageya.co.jp/files/pdf/231109.pdf

フィッシング詐欺は見ただけでは見抜けない~高まるドメインの重要性~
https://www.pmarknews.info/Information_security/52086819.html

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

プライバシーザムライ
中 康二

週に一回程度、更新情報をお届けします。

こちらからメールアドレスをご登録ください。