ARTICLE

偽造QRコードはこう働く!実際に試してみた

10月からの消費税増税にともなう特別減税措置などもあり、一気に世の中ごととして認知が進んだように感じられるキャッシュレス決済。店頭での決済方法にはいくつかのタイプがありますが、ここのところ一気に広がりを見せているように思えるのがQRコードによる決済です。

これまで、日本におけるキャッシュレス決済といえばクレジットカードが主体で、その後IDやSuicaなどに代表されるNFCカードによる近接通信方式も普及。QRコードはマイナーな存在でした。日本より先にキャッシュレス決済が広く普及した中国での「QR一色」な状況は「かなり日本と違う」という感覚でしたが、いまや日本でもQRコードでの決済風景は見慣れたものになりつつあります。

以前、当サイトのでも紹介した記事では(https://smartsoundlab.com/2018/08/000035.html)、キャッシュレス先進国の中国で問題となっている「QRコード詐欺」について触れています。
QRコード決済が身近になってきた今、実際にこのQR詐欺がどんなものなのか?試してみることにしました。

紹介記事(https://news.yahoo.co.jp/byline/moriimasakatsu/20180624-00086884/)にあった、神戸大学 森井教授による偽QRコードの読みこみをします。

41_zu_01.jpg

記事中にあるQRコードをプリントして、壁にはりつけてスマートフォンのカメラアプリでうつすとURLが読み込まれます。これをタップすることでブラウザが開くのですが・・・

41_zu_02.jpg

1回目は、「正しいURL」として、神戸大学 森井研究室のサイトトップ(http://www.research.kobe-u.ac.jp/eng-es3/)が表示されました。

41_zu_03.jpg

2回目も・・・同じサイトが表示されました。つまりここまでは「詐欺被害に遭っていない」状態です。
では、3度目。

41_zu_04.jpg

ここで!こんどは「間違ったURL」が認識され、「WARNING!」と書かれた別のページが表示されました。これが「QR詐欺によって本来の決済業者とは無関係なサイトに誘導されてしまった」状態です。
ご覧の通り、QRコードそのものはもちろん、撮影から読み込み、ブラウザへの遷移にいたるまで3回の手続きはまったく同じなのですが、まったく違うサイトに誘導されてしまいます。
この実験では、正しいURLと間違ったURLではサイトデザインがまったく違っていますが、実際の詐欺ではこうした見た目の違いは極力、排除されているでしょうから、しばらくは被害に気がつかないケースのほうが多いだろうという想像がつきます。

これは、QRコードの一部に「白か黒か」の判別がつかない「グレー」のマスを加えることでQR認識におけるエラー訂正機能を使わせ、その精度のブレによってグレーのマスを白と判断する場合、黒と判断する場合に分けることで一部のトラフィックのみを別サイトに誘導するというものです。森井教授はこれを「偽装QRコード」と呼んでいます。同じQRを使っても被害に遭わないケースがあるぶん、問題が発覚しづらいという仕掛けです。

この後、同じ実験を何度か試してみましたが、3回目で偽サイトに行くというのは早い方で10回目以降くらいで「ハズレ」を引くパターンが多いように感じました。おしなべると、被害に逢う確率は1割以下なのかもしれません。
確率が低い分、発覚もしづらい・・という、なんとも巧妙な手口ですね。
なお、「偽装QRコード」を作るにはには複数の方法があり、パターンのなかでグレーを使う今回のパターンよりもさらに見分けがつきにくいものを作ることも可能であるとしています。

わたしたちが今後、こうした被害に遭わないために考えられる対策としては
・QRコードにあやしいところがないか、よく見て確認する(ただし見破ることが難しいケースもある)。
・遷移したサイトにおかしなところがないか確認する。
といったところでしょうか。また、決済後におかしなトラフィックが記録されていないか、決済履歴をマメに確認することも大切ですね。

QR決済の普及にともないこういった手口が日本にも発生する可能性はあります、ぜひ気をつけていただければと思います。

本リリースやSmart Sound Labに関するお問い合わせは下記、またはホームページの「CONTACTフォーム」からお願いいたします。

Smart Sound Lab
(スマートサウンドラボ)

URL: https://smartsoundlab.com
所長:安田 寛 Hiroshi Yasuda

こちらの記事もどうぞ: