カー用品店大手「オートバックス」から郵送されたダイレクトメールに載っていた「QRコード」が物議を醸している。スマホで読み込むと“詐欺サイト”に飛ばされ、クレジットカード情報が抜かれてしまうというのだ。
事の発端はあるXユーザーのツイートだった。
そこには「オートバックスのDMにある『新しいオートバックス会員制度リニューアル』QRコードにアクセスしたらカード情報等入力画面になったので入力したら海外サイトに登録したことになってて調べてる間に決済されてしまいました」と記されており、あわせてクレジットカードの決済のお知らせ画面が添付されていた。
問題のDMはペリペリと剥がすことが出来る「圧着ハガキ」で、一括管理が出来るというアプリをダウンロードするためにQRコードを読み込むと、なぜかカードの入力画面になり、情報が抜き取られてしまったという。
「QRコードは、URLが長すぎると複雑になって精細な印刷が求められるため、ハガキやチラシなどに印刷する場合は、短縮URLサービスを使ってURLを短くしたうえでQRコード化することがあります。短縮URL化するサイトはいくつもありますが、一部には悪意のある広告を忍び込ませたり、他サイトに誘導するような情報が埋め込まれるケースがあるのです。11月9日には、スーパーマーケットを展開するいなげやの入会案内チラシに記載したQRコードから不正サイトに飛ばされる事象が発生。いなげやのケースでも、クレジットカード情報が抜き取られる被害がありました。こちら側の対策としては、カメラで読み取ったQRコードが短縮URLでないか確認する、でなければQRコードを使わずに検索エンジンで調べて目的のページにたどり着くことを試した方がいいでしょう」
オートバックスは13日に「会員様DM掲載の2次元バーコードに関するお知らせ」を発表。2次元バーコードの読み取りを行わないよう呼びかけている。
