お役立ち情報 脅威の新たな要因になり得るQRコード、
感染リスク回避のために急拡大したQRコード決済の利用
長期化するコロナ禍は、私たちの生活を大きく変えてしまいました。その1つとして挙げるべきなのが、QRコード決済の普及だと言えるでしょう。新型コロナウイルスへの感染リスクを下げるには、外出時にマスクをするだけではなく、物理的な接触を避けることも推奨されています。その結果、現金の授受や決済端末へのタッチが不要なQRコード決済が、急速な勢いで広がっていったのです。
これは調査データからもはっきりと見て取れます。日本最大のモバイル専門調査機関であるMMD研究所が2021年7月に公開した調査結果によれば、QRコード決済の認知率は94.2%に達しており、現在利用している消費者は35.3%、利用経験のある消費者は50%を超えています※1。そして利用者が急増したのは、2020年に入ってからだということもわかっています。もちろん現在もまだ決済の主力は現金やクレジットカードですが、QRコード決済の利用率はわずか1年で、キャズム(市場普及の溝)と言われる16%をはるかに超えてしまったのです。
ご存知の通りQRコード決済とは、店舗側の決済端末または消費者のスマートフォンで、QRコードをスキャンするだけで完結する決済方法です。ICカードを利用したタッチ式の決済に比べれば若干の手間がかかるものの、現金やクレジットカードでの決済よりもはるかに手軽でスピーディです。また自分がこれまでに使った金額やチャージ残金がすぐにわかる点も、便利だと言えます。しかも昨年以降は決済事業者が数多く参入し、ポイント還元競争も激化しました。前述のような勢いで普及するのも、不思議ではないのかもしれません。
しかしご多分に漏れず、便利で新しいものには必ずといっていいほど、セキュリティ面でのリスクがつきまといます。
QRコード決済の先進国である中国では、すでに数多くの不正決済の手法が報告されています。その中でもわかりやすいのが、店舗が提示するQRコードを購入者がスキャンして支払うMPM(Merchant Presented Mode:店舗提示型)決済において、攻撃者が店舗提示のQRコードを改ざんする、といった手口です。中国の店舗では、印刷されたQRコードが商品に貼り付けられていたり、レジ前にQRコードが紙で掲示されている様子がよく見られます。この紙の上に攻撃者が作成した偽のQRコードを貼り付けることで、攻撃者に支払いが行われるという実にシンプルで素朴な攻撃法なのですが、それ故に引っかかってしまう人も少なくないと言われています。
脚注
※1https://mmdlabo.jp/investigation/detail_1976.html
不正決済以外でも脅威をもたらす危険性が
QRコード決済の普及がもたらすリスクは、不正決済だけに限りません。QRコード決済でQRコードの利用に慣れた結果、多くのユーザーはQRコードをスキャンすることへの心理的ハードルが下がっています。実はこのことが、新たな脅威につながると指摘されているのです。
QRコードには、決済に関する情報だけではなく、実に多岐にわたる情報を埋め込めます。その中でも特に多いのがURLの埋め込みです。街の中にはQRコードが印刷されたポスターやチラシが数多く存在しますが、その多くはQRコードをスキャンしてもらうことで、マーケティングのためのキャンペーンサイトへと誘導することを目的としています。
それでは攻撃者がこのQRコードを改ざんしたらどうなるでしょうか。前述の中国での手口からもわかるように、紙に印刷されたQRコードの改ざんは極めて簡単です。偽のQRコードを印刷したシールを、本物の上に貼るだけでいいからです。多くの人々はそれが本物かどうかを確認せずに、スマホでスキャンして攻撃者のサイトへと誘導されてしまうでしょう。その結果、マルウェア感染やフィッシング詐欺などの被害に遭ってしまうのです。
心理的なハードルが急速に下がったタイミングは、攻撃者が攻撃を仕掛ける絶好のタイミングです。しかもその手法は極めてシンプルです。ターゲットとなる人々は、目の前のQRコードが正しいものであるかどうかを、スキャン前に確かめる術もありません。見えているのは四角の中の幾何学模様に過ぎず、人間の目でその内容を判別することはできないからです。
もちろんスキャンした後、画面に表示された文字列から正当性を判別する、といったことは可能かもしれません。しかしほとんどの人は、表示されたURLが安全であるか否か、判断できるだけの情報は持ち合わせていないはずです。
セキュリティ対策の基本は、ヒトの判断に任せないこと
ではQRコードのこのようなセキュリティリスクから、ユーザーを守るにはどうしたらいいのでしょうか。セキュリティ対策において、ヒトの判断に任せることは、絶対に避けなければなりません。そこで、有力な解決策となりうるのが、モバイル端末のエンドポイント管理を強化することです。例えば「MobileIron」のような統合エンドポイント管理製品(UEM)を活用すれば、セキュリティ上の脅威を即座に検知・防御できます。MobileIron Threat Defenseは外部からのネットワーク盗聴、OS・アプリ侵害などの行為を検出、防御する機能を提供しているからです。
またBYODの場合には会社用と個人用の区画を分けることで、個人用区画で不正サイトにアクセスしても、会社用区画からの情報漏えいを防止できます。しかも集中管理可能であるため、エンドユーザーの負担は増加しません。
すでに心理的ハードルが下がっているQRコードの利用について、ユーザーのリテラシーや安全行動に期待するのは適切ではありません。リスクを回避するには、端末そのものの守りを固めておく必要があるのです。
MobileIronとは
MobileIronは数々の受賞歴のある統合エンドポイント管理(UEM:Unified Endpoint Management)機能を基盤とする業界初のモバイルを中心としたゼロトラスト・プラットフォームです。
iOSやAndroidデバイスに加えて、MacやWindows 10などのPCも統合管理することが可能です。さらに、ゼロ・サインオン(ZSO)、多要素認証(MFA)、モバイル脅威防御(MTD)などのゼロトラスト技術を活用しています。世界大手の金融機関、情報機関、厳しい規制の対象となる企業など、20,000社以上のお客様がMobileIronを活用し、許可されたユーザー、デバイス、アプリ、サービスのみがビジネス資産にアクセスできる、シームレスかつセキュアなユーザー体験を実現しています。