身近で便利なQRコードを悪用して金銭や個人情報を奪う詐欺が大量発生している。スマホを狙う脅威の対策方法を、スペシャリストの増田幸美さんに聞いた。 ■世界中のメール詐欺の約7割が日本人狙い わざわざ文字を入力することなく、スマホで読み取るだけでサイトのURLやSNSアカウントにアクセスできるQRコード。とても便利な仕組みですが、スキャンする前に用心が必要です。スマホの普及に伴い、詐欺に悪用されるケースが増えています。 「あなたのアカウントに不正アクセスがありました。至急以下のサイトからアクセスしてログインしてください」 たとえばスマホにこんなメールが届いたとします。これは偽サイトに誘導する「フィッシング詐欺」でよく使われる文面です。用心深い人なら、まず表示されたURLを確認するはず。URLに違和感があれば詐欺の可能性大です。 では、メールにURLのリンクがなく、QRコードがついていたらどうでしょうか。QRコードを見ても、その中身が怪しいURLかどうかはわかりません。また、一般的なメールセキュリティは添付のQRコードが危険かどうか検知することができません。そのため、URLのリンクなら危険を回避していた人も、QRコードならつい読み込んでしまうおそれがあるのです。 QRコードを使ったフィッシング詐欺は「クイッシング」と呼ばれています。「ETC利用照会サービス」を装ってQRコードから偽サイトに誘導するメールが大量に出回っていますが、これもクイッシング詐欺の一つ。誘導先の偽サイトでアカウントのID・パスワードやクレジットカード番号などを入力すると、アカウントの乗っ取りやカードの不正利用につながるのでたいへん危険です。少しでも不審な点があれば、読み込まないでください。 QRコードを使ったメール詐欺は2023年の夏から増加しており、24年には世界で318万通も確認されました。とくに最近はメール脅威の件数が急激に増えており、25年2月には過去最多となる攻撃量を記録しました。 恐ろしいのは、そのうち約7割が日本を狙ったものであることでしょう。日本人のクレジットカード情報や個人情報は、アンダーグラウンドで高値で取引されています。日本人、そして顧客の個人情報やその他の知的財産を大量に持っている日本企業は、攻撃者から狙われやすい立場にあるのです。 これまでは、日本語を使いこなすことの難しさがある種の参入障壁になり、海外の攻撃者は日本を狙うに狙えなかった面がありました。その状況を変えたのがAIの進化です。以前のAI翻訳はおかしな日本語が混じっていましたが、生成AIで急激に精度が向上。言葉の壁を越えられるようになったことで、日本を狙った攻撃が増えているわけです。 気をつけなければいけないのは、メールに添付されたQRコードばかりではありません。ネットショッピングを利用する人に警戒してほしいのが「返金詐欺」です。 手口は巧妙です。EC(電子商取引)で商品を購入後、店側から「在庫切れだった」などの理由で「PayPayで返金を行う」と連絡がきます。購入者が返金してもらおうとQRコードを読み込むと、実際には返金ではなく送金の画面に遷移します。そこで商品代5000円を取り戻そうと「5000」と打ち込むと、逆に向こうに5000円が送金されます。最初に支払った5000円は当然返金されませんから、合計で1万円を騙し取られることになります。 なかには「本当に在庫切れかも。無視すれば最初の商品代が返ってこない」と考える人もいるでしょう。しかし、PayPayは規約に「PayPayは対面での決済のみ」「Web上などにQRコードを提示する行為は、PayPay加盟店規約に違反」と明記しています。つまり店側が対面以外の方法でQRコードを提示した時点で、相手は正規の加盟店ではないと考えるべき。PayPayに限らず、「○○ペイで返金」はすべて詐欺だと思って差し支えありません。