クイッシング対策: QRコード詐欺を開く前に防ぐ方法
すばやくスキャンする。チラシの小さな四角。駐車違反切符に書かれた急ぎの「ここをタップ」。攻撃者が狙うのは、その一瞬の信頼です。Quishing - QRコード経由のフィッシング - は無害に見えますが、端末を見えないリダイレクトに通したり、本物らしい偽ログインページに誘導したり、データを漏らすトラッキングトークンをひそかに渡したりすることがあります。
この記事では、なぜQRコードが死角を作るのか、なぜ「URLを確認するだけ」ではうまくいかないことが多いのか、リスクを減らす実用的な手順を説明します。最後のセクションでは、Clean Linksがページを開く前に本当のリンク先を表示し、トラッキングを取り除く仕組みを説明します。
QRコードが死角を作る理由
QRコードは、入力の手間と文脈を同時になくします。
- コードをスキャンすると、iPhoneはデータをデコードし、URLやアクションを表示します。その最初のURLが分岐点になることがあります - 短縮リンク、リダイレクタ、またはすぐに別のリンク先へ転送するクラウド上のページです。
- 攻撃者は短縮URLや複数段階のリダイレクトを使って、最終的なリンク先を隠します。一見安全に見えるものが、1回以上のリダイレクトの後で認証情報を盗むページになることがあります。
- QRコードはどこにでも置けます。ポスター、メニュー、郵送物、正規のコードの上に貼られたステッカー。そうした物理的な置き方が、説得力を持たせ、悪用しやすくします。
「URLを確認するだけ」がうまくいかない理由
「URLを確認するだけ」と言うのは、実際には成り立たない前提をいくつか置いています。
- デコードされたURL自体がリダイレクタの場合があります。そのため、確認しても最初の一歩しか見えません。
- デフォルトのカメラアプリを含む多くのビューアは、デコードされたリンクを表示しますが、タップするまでリダイレクトチェーン全体をたどったり、最終的なリンク先を表示したりしません。
- 最終ドメインが正規に見えても、トラッキングパラメータやアフィリエイトトークンが付いていることがあります。そうしたパラメータはプロファイリングを可能にしたり、不正な導線の一部として使われたりするため、スキャン先が本当はどこなのか見えにくくなります。
つまり、見えているURLは役に立ちますが、それが全体像ではありません。
上の動画は重要な違いを示しています。Appleのカメラアプリは最初のドメインだけを表示しますが、Clean Linksはすべてのリダイレクトをたどり、タップする前に本当の最終リンク先を表示します。
リスクを減らす実用的な手順
- 見知らぬQRコードは、知らないリンクと同じように扱ってください。郵送物、ステッカー、または想定していない場所にあるものは、スキャンを避けます。
- 店舗や事業者がQRコードを提供している場合(メニュー、チケット、支払い)、スタッフに確認するか、その事業者の公式アプリやWebサイトを使ってください。
- QRコードから開いたサイトで認証情報を入力するのは避けてください。重要なサービスでは、既知の公式アドレスを手入力するか、信頼できるブックマークを使います。
- 最初にデコードされたリンクだけでなく、最終的なリンク先をプレビューし、リダイレクトチェーンを表示するスキャナーを選んでください。
Clean Linksができること
Clean Linksは、QRコードと短縮リンクの正体を見えるように作られています。リダイレクトチェーン全体をたどり、ページを開く前に本当の最終URLを表示します。iPhoneのカメラがデコードされたリンクを表示する一方で、Clean Linksはリダイレクトを明らかにし、トラッキングパラメータを取り除くため、ランディングページと開かれるリンクが期待どおりか確認できます。すべての処理は端末上でローカルに実行され、外部へのログ記録はありません。
Clean LinksはApp Storeから無料でダウンロードできます。
自分を守るための簡単チェックリスト
- タップする前に一呼吸置く。スキャナーのプレビューと最終ドメインを確認する。
- 迷ったら、パスワードや支払い情報を入力しない。
- リンクが急ぎの支払いや認証情報を求めてきた場合は、そのリンクの外で依頼内容を確認する。
- 公共の場所でQRコードを定期的にスキャンするなら、より安全なスキャナーを標準にする。
Quishingが成功するのは、日常的な行動を悪用するからです。少しの注意と適切なツールを組み合わせれば、攻撃の連鎖を断てます。たまにでもQRコードをスキャンする人にとって、リンクをプレビューしてクリーンにするスキャナーを使うことは、リスクの多くを取り除きます。
