四角いパズルや迷路のように見えるタッチフリーのQRコードは、最近ではどこにでもあるようです。ここ数年で急速に普及したQRコードは、新型コロナ対策の開始とともに爆発的に普及しました。この素晴らしいQRコードのおかげで、モバイルデバイスでメニューを素早くスキャンしたり、料金を支払ったり、製品やサービスに関する情報を見つけたりすることが簡単にできるようになりました。

QRコードは、物理的な世界とバーチャルな世界を混在させます。消費者を喜ばせる情報や機会に満ちた、バーチャルな世界への扉を開くための架け橋となります。また、非接触なので、レストラン、小売店、診療所、空港などで非常に重要な役割を果たしています。

QRコードは素晴らしいマーケティングツールです。QRコードは顧客の関心を高め、オンラインでの購入体験をシンプルにし、製品プロモーションを強化することができます。ダイナミックQRコードにより、期間限定のマーケティング・キャンペーンをすることもできます。例えば、商品やチラシに記載されたQRコードを読み取ると、1日限定の特別キャンペーンが始まるというようなこともできます。QRコードを使って、消費者が商品を自分の好みに合うようにカスタマイズすることもできます。商品のQRコードを読み取って、色やサイズ、柄などを選択するだけです。

ユーザーにとっては手間いらず

便利なQRコードで、Webブラウザを開いたり、コードをインストールしたり、アプリケーションを起動したり、支払いをしたりすることが素早くできます。Appleの"App Clips"やGoogleの"Instant Apps"のようなミニアプリを使えば、インストール不要でデバイス上で動作させることができるので、さらにシームレスになります。モバイルデバイスでQRコードを読み取るだけで、ミニアプリが瞬時に起動します。数ビットのデジタル情報が交換されると、すぐにサインインして、Apple PayやGoogle Payで支払うことができます。ユーザーであれば簡単ですね。セキュリティチームやIT運用チームにとってはそれほど簡単な話ではありません。QRコードは、消費者とのやり取りを簡単にするという点では優れていますが、サイバー犯罪者が悪い目的のために利用することもあるのは困った点です。

先ごろIvantiは、米国、英国、フランス、ドイツ、中国、日本の4100人以上の消費者を対象に調査を行いました。その結果、83%の回答者がQRコードをスキャンしたことがあると答え、QRコードの利用が拡大しているという私たちの考えが裏付けられました。さらに興味深いことに、51%の回答者がQRコードを使用する際に不安を感じながら、それでもスキャンしています。 回答者の3分の1は、QRコードに関連するリスクを知らず、自分のモバイル機器を保護する必要性を認識していませんでした。

新型コロナによる注意喚起を受けて、企業は非接触型取引で消費者の不安を解消するために、モバイル決済、オンライン注文、カスタマーサポートなどでQRコードの利用を増やしています。しかし、多くの企業が、デジタル資産へのセキュリティリスク気づき始めています。実際、Ivantiの調査によると、回答者の31%が、QRコードによってモバイルデバイスを不審なサイトに誘導されたり、その他の問題が起こったりしたことがあると回答しています。   

セキュリティ部門やIT運用部門が取り組むべきQRコードの課題 

従業員は、ビジネスや個人的な活動のために日常的にモバイルデバイスを使ってQRコードをスキャンしており、自分自身とビジネスを危険にさらしています。QRコードは、信頼できるソースからのものでなければスキャンしてはいけません。ハッカーは、正規のQRコードを簡単に悪意のあるQRコードにすり替えることができます。QRコードは人間には読めないので、サイバー犯罪者は悪意のあるソフトウェアを埋め込んだ独自のQRコードを作成して悪用することができます。また、気づかれないうちにユーザーをフィッシングサイトに誘導することもできます。要するに、ハッカーはQRコードを使って、情報を不正に入手したり、アカウントを乗っ取ったり、IDやデータを盗んだりすることができるのです。           

企業がQRコードやその他の悪意のあるオンライン活動によるサイバー脅威から自分自身を守るには、ユーザーまかせにはできません。オンデバイスのモバイル脅威防御 (MTD) は、QRコードを利用したフィッシングやその他の悪意ある攻撃に対して、一般的なアンチウイルス・ソフトウェアを回避するものであっても防御します。継続的に更新されており、ネットワークに接続されていなくても常に稼働しています。

このように、QRコードは消費者のオンライン体験を向上させる優れた手段である一方で、望ましくないトラブルを招くこともあります。ユーザーが日常的にモバイル・デバイスを使用しているのであれば、セキュリティ担当者から見ると、急速に増加している脅威の方向性によって「シャドーIT」という言葉が別な意味を持つことになるでしょう。