QRコードに実際に含まれる情報とは?
QRコードとは、突き詰めれば、任意のテキスト文字列をエンコードできる機械可読フォーマットに過ぎません。一般的な用途としては、URL(最も多いケース)、プレーンテキスト、連絡先(vCard)、Wi-Fi認証情報、カレンダーのイベント、決済情報などが挙げられます。 そして、そのプライバシーリスクは現実のものです。悪意あるQRコードは、正規のサイトと見た目がまったく同じフィッシングサイトへとあなたを誘導する可能性があります。公共の場のQRコードには、いつ、どこでスキャンされたのかを特定するトラッキングパラメータが埋め込まれている場合があります。中には、URLショートナーを経由させることで、すべてのスキャンの分析データを収集しているものさえあります。 生成する側に目を向けても、ほとんどのQRコードWebサービスはサーバーサイドでコードを作成し、エンコードしたデータをログに記録しています。つまり、パスワード、Wi-Fiキー、連絡先情報などをQRコードとして生成する場合、そのデータはサーバーを通過してしまうことになるのです。
QRコードを安全に使う
- 1出所のわからないQRコードをスキャンする前には、開く前に完全なURLを表示してくれるQRスキャナーを使いましょう。QRコードに、ブラウザを自動的に開かせるような設定は避けるべきです。必ず遷移先を自分の目で確認してから、開くようにしましょう。
- 2QRコードは、ローカルで生成しましょう。PrivaQRは、QRコードをブラウザ内で完全に生成します。エンコードするデータ(URL、連絡先情報、Wi-Fiパスワードなど)が、あなたのデバイスの外に出ることは一切ありません。機密性の高いコンテンツを扱う際には、これは特に重要なポイントとなります。
- 3名刺、Wi-Fi共有、決済といった重要な用途には、内容を検証でき、再現も可能な静的QRコードを使いましょう。サーバーを経由するサードパーティのダイナミックQRサービスは、いつでも内容を変更されたり無効化されたりする可能性があるため、避けるのが賢明です。
QRコードのセキュリティヒント
既存のQRコードの上に貼り付けられているように見える、公共の場のQRコードには特に注意しましょう。これは、フィジカルフィッシングと呼ばれるありふれた手口の一つです。 Wi-FiのQRコード(QRパターンの中にパスワードがプレーンテキストで埋め込まれています)は、信頼できる相手にだけ共有し、広く配布することに不安がある場合は、後でパスワードを変更しておきましょう。 QRコードで連絡先を共有する際には、電話番号や住所のような全情報をエンコードするのではなく、機密性の低い項目(氏名やWebサイトなど)だけに絞ってエンコードすることを検討しましょう。 また、印刷したり共有したりしたQRコードが、今も正しい遷移先を指しているかどうかを、定期的に確認するようにしましょう。