みなさんはSNSの「アプリ連携」の仕組みをご存知ですか。SNS上で不用意にアプリ連携を行っていると、悪意を持ったアプリ開発者にSNSアカウントを乗っ取られてしまう可能性があります。アプリ連携（アプリ連動）によるSNSのアカウント乗っ取り対策ともしものときの対処法を紹介します。

LINEやTwitter、Facebook、InstagramなどのSNSはいまや最も身近なネット上のコミュニケーション手段です。SNS利用者の中には、自身のSNSアカウントを別のアプリと連携させ、より使いやすくしたり、活用の幅を広げたりしている人もいます。

また、SNSには便利な連携機能があります。たとえば、Twitter上でFacebookを連携させると、Twitterに投稿した内容をFacebookに自動投稿できます。Twitterのタイムラインを自分好みにカスタマイズしたり、ツイートを予約投稿したり、フォロワーが投稿した画像や動画を一覧で確認したりできる連携アプリもあります。

ただ、SNSで不用意に「アプリ連携(アプリ連動)」を行っていると思わぬトラブルを招いてしまうかもしれません。アプリ連携は、SNSのプロフィール情報の確認や変更、フォローリストの確認や追加、投稿などといった本来アカウントの所有者しか行えない操作の権限を別のアプリやサービスに与える仕組みです。もし、自身のSNSアカウントと不正アプリを連携させてしまった場合、どうなってしまうでしょうか。権限の内容にもとづき、アプリの開発者にSNSのプロフィール情報や友人リストを参照されたり、不正なURLリンクを含むメッセージをばらまかれたりしてしまう可能性があるのです。

SNSのアプリ連携は、Twitterを例にあげると「○○(アプリ名)にアカウントへのアクセスを許可しますか？」などとSNS利用者の同意を求めるWebページから行います。そこには「ツイートを確認する」「他のアカウントをフォロー、フォロー解除する」「このアカウントでツイートを送信および削除する」など、連携対象のアプリが要求する権限の一覧も表示されます。SNS利用者が「連携アプリを認証」と書かれたボタンを押し、権限の付与に同意して初めてアプリ連携が行われるのです。

SNSに潜むサイバー犯罪者は、SNS利用者をあの手この手で不正アプリとの連携を促すWebページに引き込もうとします。SNS上の投稿や広告だけでなく、すでにアプリ連携してしまった利用者のアカウントからばらまかられるDM（ダイレクトメッセージ）も主な誘導経路です。

みなさんはSNS利用時に美談仕立てのエピソードや、診断・鑑定アプリをURLリンク付きで紹介する投稿を見かけたことはないでしょうか。それらの中には不正アプリとの連携を促すWebページに誘い込むことを目的としているものがあります。時事や芸能などの話題と「続きはこちら」などと書かれた投稿やダイレクトメッセージ経由でたどり着いたWebページでうっかり不正アプリと連携してしまい、自分のアカウントから不正なメッセージを拡散させられる被害も発生しています。

Twitterでは「ONLY FOR YOU」の文言と受信者のアカウント名、動画サービスの短縮URLを記載したダイレクトメッセージを経由して、受信者を不正アプリとの連携を求めるWebページへ誘導する手口が確認されました。受信者のアカウント名を記載し、リンク先があたかもYouTubeであるように装うのは、受信者の興味を引くことが狙いです。メッセージの発信元が信用できるフォロワーだった場合、受信者は安易にURLリンクを開いてしまうかもしれません。もし、リンク先のWebページで連携を許可してしまうと、Twitterアカウントのプロフィール情報の確認や変更、ツイートの投稿や削除、ダイレクトメッセージの送信などの権限をアプリの開発者に与えてしまい、実質的にアカウントを乗っ取られてしまいます。

アプリ連携によるSNSアカウントの乗っ取りを防ぐためにはどうすればよいでしょうか。そのために実践すべき2つの対策を紹介します。

自身のSNSアカウントから「身に覚えのない投稿が行われている」「勝手にダイレクトメッセージを送られている」といったケースが認められた場合、不正アプリと連携してしまっているかもしれません。以下を参考に、不審なアプリとの連携を解除しましょう。
万一、アカウントの認証情報が書き換えられてログインできなくなってしまったら、速やかにご利用のSNS提供事業者に届け出ましょう。

不審なアプリとの連携を解除したら、念のため、SNSアカウントの認証パスワードも変更しておきましょう。意図しない投稿を削除するとともに、二次被害を防ぐため、SNSアカウントを乗っ取られた期間などを関係者に報告しておくことも大切です。

TwitterやFacebookなどのSNS上で不用意にアプリ連携するのはやめましょう。アプリ連携は、SNSのプロフィール情報の確認や変更、メッセージの投稿といった本来アカウントの所有者しか行えない操作の権限を外部のアプリやサービスに与える仕組みです。もし、不正なアプリと連携してしまった場合、権限の内容にもとづいてアプリの提供元にSNSのプロフィール情報を参照されたり、不正なURLリンクを含むメッセージをばらまかれたりしてしまう可能性があります。

Twitterでは「ONLY FOR YOU」の文言と受信者のアカウント名、「youtube.com」の文字列を含むURLリンクを記載したダイレクトメッセージを経由して、不正なアプリとの連携を求めるページへ誘導する手口が確認されています。ほかにも、無害な診断アプリを装って不正なアプリとの連携を促す手口が確認されています。もし、そこで連携を許可してしまうと、Twitterアカウントのプロフィール情報の確認や変更、ツイートの投稿や削除、ダイレクトメッセージの送信などの権限をアプリの提供元に与えてしまい、実質的にアカウントを乗っ取られてしまいます。

SNS上でアプリ連携を促された場合は不用意に許可せず、そのアプリに与えられる権限を確認することが重要です。その上で本当に連携するべきかどうかを慎重に判断してください。怪しげなアプリとの連携をうっかり許可してしまった方は、以下を参考に連携を解除しましょう。

スマホを監視するアプリ「ストーカーウェア」を知っていますか。もし、悪意を持った何者かによって自身のスマホにストーカーウェアを勝手にインストールされてしまった場合、さまざまな情報を抜き取られ、常に行動を監視されてしまいます。トラブルに巻き込まれないための自衛策を紹介します。

現在、多くの人にとってスマホは手放せない存在になりつつあります。ネットを介したコミュニケーション、位置情報を利用したサービス、買い物、金融サービス、カメラ機能、情報収集、電子書籍や動画など、その履歴や保存された情報を見ただけで、持ち主の日常が手に取るように分かるほどです。そのため、あなた自身やあなたの周囲の情報を知りたい人に、あなたのスマホが狙われているかもしれません。
悪意を持った人がスマホからあなたの情報をこっそり入手するために利用するツールの1つがストーカーウェアと呼ばれる監視用ソフトウェアです。その多くは、子どもの見守りや従業員の監視などの名目で一般の商用ソフトとして販売されています。しかし、こうしたソフトは便利ですが、知人などのスマホに無断でインストールし、ストーカー行為や情報窃取などに悪用することもできるのです。
ストーカーウェアは私たちにとって見過ごせない脅威の1つになっています。スマホに仕込まれたストーカーウェアは秘密裏に動作しながら、持ち主の位置情報や通話履歴、通話音声、SNSでやり取りされるメッセージ、Webブラウザの閲覧履歴、ボイスメモ、写真などのさまざまな情報を収集します。

ストーカーウェアを何者かによって自身のスマホにインストールされたり、だまされて自ら入れてしまったりした場合、プライバシー侵害や情報漏えい、遠隔操作、セキュリティレベルの低下、アカウント乗っ取りの大きく4つの被害に遭うリスクがあります。

ストーカーウェアによって外部に送信された各種情報にアクセスできるのは監視者だけとは限りません。ストーカーウェアの提供元がそれらの情報を別の何者かに売却したり、入手した情報をもとに脅迫したりする可能性もあります。また、ストーカーウェアの標的は個人に限りません。特定の企業や組織を狙ったサイバー攻撃の下準備として、攻撃者が情報収集を目的に従業員や関係者のスマホにストーカーウェアを仕込むことも考えられます。

管理者権限を持つストーカーウェアをインストールされた場合、端末内の情報を奪われるだけでなく、削除される可能性もあります。また、画面ロックの変更や着信拒否設定などの権限を持つストーカーウェアによって端末の利用を阻害されることも考えられます。たとえ、被害者がストーカーウェアを発見したとしても、端末側の操作だけでアンインストールすることは困難かもしれません。

Google PlayやApp Storeなどの公式ストアでは安全性の基準を満たさないアプリは排除されるため、ストーカーウェアの多くはサービス事業者のWebサイトや、非公式ストアで配布されます。このため、何者かが標的のAndroid端末にストーカーウェアをインストールする際には、端末やWebブラウザの設定で「提供元不明なアプリのインストール」を許可する必要があります。一方、iPhoneがターゲットの場合、脱獄（ジェイルブレイク。iOSの制限を解除して非公式ストアの利用を可能にする改造行為）が行われます。設定を変更されたままのAndroid端末や、脱獄されたiPhoneはセキュリティレベルが低下し、不正アプリが入り込むリスクも高まってしまいます。

ストーカーウェアの中にはキーロガー（入力した内容を窃取するソフト）の機能を備えているものもあります。その場合、スマホで入力した情報が監視者に筒抜けになってしまいます。たとえば、キー入力情報とWebブラウザの閲覧履歴を突き合わせると、ネットバンキングをはじめとする各種インターネットサービスの認証情報（IDとパスワード）を割り出すことが可能です。SMSなどで取得できる二要素認証情報なども監視者に渡ってしまうため、各種インターネットサービスのアカウントを不正利用されるリスクが高まります。

ストーカーウェアによる被害に遭わないよう適切な自衛策を講じましょう。

もし、不審なアプリが検出されたら速やかにアンインストールしてください。ただし、管理者権限を持つストーカーウェアは、通常の手順でアンインストールできなくなっているかもしれません。何らかの理由で削除できない場合はご利用のセキュリティアプリのサポート窓口や、契約している携帯電話事業者の窓口に問い合わせましょう。

みなさんは主要なWebブラウザが提供しているプライバシーモードをご存知ですか。これは、閲覧履歴やCookieなどの情報をWebブラウザに保存させることなくWebサイトを閲覧（ブラウジング）するための機能です。

Webブラウザを開くと、プライバシーモードではなく、通常モードが立ち上がります。このモードでは設定を変更しない限り、閲覧履歴や Cookie、フォームへの入力情報、キャッシュなどがWebブラウザに保存されます。

ただ、家庭などの共用パソコンを使って調べものをしたり、SNSなどの会員サイトを利用したりするときはWebブラウザに閲覧履歴やCookieなどを残したくない場合もあるでしょう。もし、それらの情報を残してしまった場合、ログイン状態が保持され、会員サイトを家族のだれかに閲覧されたり、操作されたりするかもしれません。

2020年は、二要素認証突破を狙うフィッシング詐欺、ECサイトの改ざん、さまざまな機器の脆弱性を悪用した攻撃、AIの技術を悪用したネット詐欺などのサイバー攻撃が予想されています。また、テレワーク環境のセキュリティの不備を突く攻撃のリスクも高まるでしょう。東京オリンピック・パラリンピック開催を控える2020年、私たちが注意すべきセキュリティの脅威と対策を紹介します。

二要素認証（二段階認証とも呼ばれる）は、IDとパスワードに加えてワンタイムパスワードなどによる追加の認証を行うログイン方法で、第三者による不正利用を防ぐ手段としてネットバンキングやクラウドサービス、ECサイトなどで導入されています。しかし、二要素認証を突破しようとするフィッシング詐欺が2019年9月以降増加しています。たとえば、偽のメールやSMS（ショートメッセージサービス）のメッセージからフィッシングサイトに誘導する手口が用いられています。そのため、スマホからフィッシングサイトにアクセスしてしまう利用者が増加傾向にあり、SMSを悪用したフィッシング詐欺の手口は2020年も続くと予想されます。

一方で、スマホのセキュリティアプリ利用率はパソコンに比べて低く、そのことが被害拡大の一因になっているとも言えます。フィッシング詐欺の手口は年々巧妙化しており、送られてくるメッセージや誘導先のWebサイトを一見しただけでは、真偽の判断が難しくなっています。フィッシング詐欺による被害を防ぐためには、最新の手口を知っておくことが重要です。スマホにもパソコンと同様、セキュリティアプリをインストールし、常に最新の状態に保ちましょう。

2018年に改正割賦販売法が施行され、クレジットカード情報をECサイト側で保持しないことが求められています。しかし、ECサイト側でカード情報を保持しない場合でも、サイバー犯罪者がECサイトを改ざんし、偽の決済画面を表示させることでクレジットカード情報を詐取する手口も出現しています。「ECサイト側はクレジットカード情報を保持していないから安全」というこれまでの常識が覆されたと言えるでしょう。2019年はこの手口の被害が複数報道され、経済産業省などが相次いで注意喚起を行う事態となっています。一般利用者の目線で考えても、「正規サイトだから安全」というこれまでの常識は通用しません。今後も注意が必要です。
法人においては、自組織のシステムに脆弱性や設定ミスがないことを定期的に確認することが欠かせません。特にECサイトでは、早期に不審に気づける体制作りも重要となります。
一般利用者は、セキュリティソフトの利用など基本的な対策を怠らないこと、クレジットカードの明細を最低でも月一回は確認し、身に覚えのない請求があった場合は直ちに届け出ることを心がけましょう。

2020年、脆弱性を悪用する攻撃も継続するでしょう。脆弱性に関連する旬な話題は、Windows 7です。Windows 7は2020年1月14日をもってすべてのサポートが終了したため、今後新たな脆弱性が見つかってもそれらを修正する更新プログラムが提供されません。脆弱性攻撃に対して無防備なため、Windows 7の利用者はできるだけ早く最新バージョンへ移行することが求められます。脆弱性はパソコンに限ったことではありません。スマホのOSやアプリにも脆弱性はつきものです。パソコン同様にOSの更新通知が届いたらなるべく早く適用するように心がけてください。最新のOSに対応していない旧型のパソコンやスマホについては買い替えることをおすすめします。

家庭内ネットワークにつながるスマートテレビ、スマートスピーカー、ネットワークカメラなどのスマート家電やIoT（Internet of Things：モノのインターネット）機器もパソコンやスマホと同様、脆弱性を突く攻撃の対象です。たとえば、ルータの設定不備やファームウェア（機器を制御する基本ソフトウェア）の脆弱性を突き、ルータとつながるネットワーク内の機器への侵入や不正操作を試みる攻撃がこれまでも確認されています。

有効な対策はメーカーから更新プログラムが提供されたら速やかに適用し、パソコンやスマホ、IoT機器に脆弱性が存在する期間を最小限にとどめることです。自動更新機能がある場合は有効にし、アップデートが遅滞なく行われるようにすると良いでしょう。ただし、組織から貸与されている機器については、更新のタイミングがコントロールされている場合もあるため、管理者からの指示に従ってください。
セキュリティソフトをインストールできないスマート家電やIoT機器については、ホームネットワーク全体を守るセキュリティ製品による対策が有効です。ルータやIoT機器などの管理画面用パスワードを初期設定から変更することも忘れないでください。そのまま利用していると、第三者によって勝手に設定を書き換えられるかもしれません。

対策の第一歩は、家庭内ネットワークにどのような機器が接続されているか、脆弱性を持つ機器がないかどうかを把握することです。トレンドマイクロは、ホームネットワークの安全性を評価する「オンラインスキャン for Home Network」を無料で提供しています。これを利用すれば、ホームネットワークにつながっている家電や機器を表示し、それぞれのセキュリティの問題点と解決策を提示してくれます。

※バナーをクリックするとトレンドマイクロのオンラインスキャン for Home Networkのページが開きます。

ネット詐欺では、ソーシャルエンジニアリングが多用されています。ソーシャルエンジニアリングとは、人の心理的な隙につけ込んで相手に特定の行動をとらせる手法の総称です。実在する企業やサービスをかたったメールやSMS（ショートメッセージサービス）を送りつけ、メッセージを信じた受信者にURLリンクを開かせることで不正サイトへ誘導する手口はその代表例です。

2020年はソーシャルエンジニアリングの手法にAI（人工知能：Artificial Intelligence）が本格的に取り入れられると予測されています。ここ数年、AIの発達によって映像や音声の合成技術が進化し、本人以外がとった言動をあたかも本人がとったように見せかける偽動画や偽音声を生成できるようになりました。これらは「ディープフェイク」 と呼ばれ、企業に深刻な金銭被害を及ぼしているビジネスメール詐欺（BEC：Business E-mail Compromise）の手口にも用いられているようです。

2019年には英国エネルギー会社の最高経営責任者（CEO）が、その親会社のCEOを模倣した偽の送金指示音声と電話によるディープフェイク攻撃にさらされ、24万3,000米ドルをだまし取られる被害が報じられました。ディープフェイクによるなりすましの対象にされやすいのはメディア出演、オンラインビデオなどで露出の多い経営幹部です。組織では、このような手口がすでにあることを認識し、ビジネスメール詐欺の対策として新規の送金や組織内情報の送付を求められた場合の確認、承認手順を見直すことも検討してください。

東京オリンピック・パラリンピック開催に向け、混雑回避や働き方改革の一環としてテレワーク（リモートワーク）の導入が進み、職種によっては時間や場所にとらわれずに働けるようになりつつあります。しかし、テレワーク環境が企業におけるセキュリティの新たな弱点になるかもしれません。

たとえば、公共のワークスペースを勤務地とする就労者はセキュリティに不備のある公衆Wi-Fiにアクセスしてしまうリスクがあります。もし、彼らが通信の暗号化方式にセキュリティ強度の低いWEPを採用しているものや、公衆Wi-Fiに見せかけサイバー攻撃者が用意した偽のWi-Fiを利用してしまうとどうなるでしょうか。悪意を持った第三者によって通信内容を盗み見されたり、情報を窃取されたりする可能性があります。

在宅勤務の場合、比較的セキュリティ対策が手薄な家庭内ネットワークが企業ネットワークに侵入するための踏み台にされるリスクがあります。パソコンやスマホだけでなく、スマートテレビや各種アシスタントデバイス、ホームルータを含め、何らかのIoT機器が企業への攻撃経路として悪用されることも想定されます。

テレワークを安全に行うためには、勤務先が定めるガイドラインやポリシーに従って行動するのが原則です。オフィスと同等のセキュリティを十分に確保することが難しい場所での勤務は、普段以上に気を引き締めて行動することを心がけてください。

パソコンやスマホの利用者であれば、「Cookieを有効にしてください」などのメッセージを目にしたことがあるのではないでしょうか。ところでみなさんはCookieがどのようなものかご存知ですか。

Cookieは、Webサイトにアクセスしてきたユーザに関連する情報を、ユーザのパソコンやスマホのWebブラウザに書き込み、保存する仕組みです。たとえば、固有のCookieIDや会員サイトのIDとパスワード、最後の訪問日時、訪問回数などが記録され、それらの情報は次回アクセスした際に発行元のWebサイトに渡されます。これにより、Webサイト側は再アクセスしてきたユーザを識別するのです。

Cookieの仕組みは、ショッピングサイトなどの会員サイトの利用シーンをイメージするとわかりやすいかもしれません。たとえば、ログアウトせずに離脱したショッピングサイトを再訪したとき、ログイン状態が保持されている、あるいは以前カートに入れた商品がそのまま残っているのはCookieが機能しているためです。また、旅行予約サイト閲覧後、別のWebサイトを訪れたときに旅行関連のバナー広告が表示されるのも一部でCookieが利用されているためです。

Cookieは便利ですが、プライバシーの観点からネガティブにとらえられることもあります。意図しない第三者にCookieを使用され、オンラインでの行動を追跡されてしまう可能性もあるためです。Cookieはいつでも消去でき、パソコンやスマホに保存しておくかどうかを自分で選択できます。必要に応じてCookieを削除し、セキュリティやプライバシー、使い勝手とのバランスを取りましょう。

インターネット利用者であればCookie（クッキー）という言葉を一度は聞いたことがあるでしょう。しかし、Cookieがどんなものか知らない人は意外と多いかもしれません。今回はCookieの仕組みと役割、適切な管理方法などを紹介します。

パソコンやスマホでWebサイトを見ていると「Cookieの使用を許可しますか？」といったメッセージを目にすることがあります。Cookieは、Webサイト（Webサーバ）側がWebブラウザを通じてアクセスしてきたパソコンやスマホにユーザを識別するためのIDや閲覧履歴などの情報を書き込み、一時的に保存する仕組みです。それらの情報は次回以降に発行元のWebサイト（Webサーバ）を訪れた際、WebブラウザからWebサーバへ渡されます。こうして、Webサイト側は再びアクセスしてきたユーザを識別します。

では、Cookieはどんなことに使われているのでしょうか。ショッピングサイトなどの会員サイトの利用シーンをイメージしてみてください。ショッピングサイトを再訪したとき、以前カートに入れた商品がそのまま残っていたり、おすすめの商品が表示されたりするのはCookieが機能しているためです。Webサイト側がCookieを参照し、ユーザに合わせて前回の続きとなるコンテンツを表示しているのです。

CookieにはファーストパーティCookieとサードパーティCookieの2つの種類があります。これらはCookieの発行元によって分類されます。それぞれについて見ていきましょう。

ファーストパーティCookieは、ユーザがアクセスしているWebサイトのドメイン（インターネット上の住所）から発行されるCookieです。ファーストパーティCookieはドメインをまたいだ使用ができず、主にそのWebサイト内に限定した閲覧履歴などの記録、ログイン状態の保持などに使用されます。そのため、Cookieの利用が許可されていない場合、Webサイトが正しく機能しない場合があります。

サードパーティCookieは、ユーザがアクセスしているWebサイトのドメイン以外から発行されるCookieです。Webサイト上に広告が表示されたり、ユーザが広告をクリックしたりしたとき、Webブラウザは訪問先のWebサーバとは別に広告配信サーバからもCookieを受け取ります。それらの多くはサードパーティCookieです。たとえば、旅行予約サイトを閲覧後に全く別のWebサイトを訪れると、さっき見ていた旅行関連のバナー広告が表示された経験はありませんか。このようにサードパーティCookieは、複数のドメインをまたいでユーザの閲覧履歴情報を取得し、そのユーザが関心を持ちそうな広告を配信するために使用されています。

CookieはWebサイトの閲覧を快適にしてくれる仕組みです。Cookieを利用すれば、よくアクセスしている会員サイトに毎回ログイン情報を入力しなくても済みますし、自分が欲しい情報も見つかりやすくなります。信用できるWebサイトのCookieを受け入れ、閲覧履歴などの情報を提供すれば、事業者にも自分にもメリットがあるケースは多いのです。一方で、プライバシーの観点からCookieはネガティブにとらえられることもあります。Cookieの使い方によっては、ユーザの意図しない第三者による利用、ユーザの不利益、プライバシーの侵害にあたるという指摘もあるのです。2019年の国内事例では、就職情報サイトを利用していた学生の内定辞退率をCookieをもとに独自分析し、その結果となる情報を採用検討企業に販売していたことが問題となりました。

欧州連合（EU）では「一般データ保護規則（GDPR）」が施行され、Cookieを含めた個人情報を収集する事業者はユーザにその意図を伝え、その上でユーザの同意を得ることが義務付けられました。その影響の及ぶ範囲は、EU域内のユーザの個人情報（Cookieを含む）を収集する全世界のすべての事業者です。Webサイト閲覧時に「Cookieの使用を許可しますか？」などと同意を求めるメッセージを目にする機会が増えたのはそのためです。
Cookieの利用について同意を求められた場合、その内容を確認してWebサイトの利用を続けるかどうかを判断しましょう。

主要なWebブラウザにはCookieの設定項目があり、ユーザはCookieの扱いをある程度コントロールできます。Cookieの削除と、サードパーティCookieを制限する方法を覚えておきましょう。（※Cookieを削除すると、SNSやショッピングサイトなどの会員サイトからログアウトされるため注意してください。）

※以下の各手順や表示される文言はWebブラウザのバージョンによって異なる場合があります。詳しくは各製品のサポートページを参照してください。

各WebブラウザではCookieを無効にすることもできますが、それは現実的ではありません。ショッピングサイトやネットバンキングはCookieを有効にしていないと利用できないケースもあるためです。関連広告の表示を希望しない場合は、サードパーティCookieを無効にしておきましょう。

Cookieはいつでも消去でき、パソコンやスマホに保存しておくかどうかを自分で選択できます。Cookieを適切に管理し、プライバシーと使い勝手とのバランスを取りましょう。

私たちの身の回りには、QRコードなどの2次元コードがあふれています。QRコードには英数文字や漢字などの文字、それらを組み合わせたURLやメールアドレス、コンピュータが処理するためのデータなど、多くの情報を埋め込むことができます。また、QRコードは情報を読み取るために特殊な機器を必要とせず、対応するアプリの入ったスマホのカメラをかざすだけで特定のWebサイトにアクセスしたり、決済したり、SNSの友だちに追加したりすることができます。

たとえば、飛行機の搭乗券には氏名や性別、搭乗地、目的地、便名などの文字情報に加え、QRコードやPDF417と呼ばれる2次元コードが印字されています。「これから旅行」などのコメントとともに搭乗券の画像をSNSに投稿する利用者は、多くの場合、個人情報をさらしてしまうことを気にして文字にはぼかしをかけていますが、2次元コードへの配慮を忘れている投稿も見かけます。もし、そんな投稿が悪意のある第三者の目にとまってしまうと、2次元コード内の情報を読み取られ、悪用されるかもしれません。

2次元コードに埋め込まれている情報は航空会社によって異なりますが、主に氏名や便名、座席番号、予約番号、マイレージ会員番号などです。もし、セキュリティ対策がとられていない場合、スマホの一般的なカメラアプリでQRコード内の情報を読み取ることが可能です。
＊セキュリティ対策として専用機器でのみ特定情報の読み取りを可能としている2次元コードもあります。

飛行機の搭乗券に限らず、お薬手帳や郵便物、チケットなど、2次元コードやバーコードなどを含む画像を何らかの理由でSNSに投稿する際はくれぐれも注意してください。想定外の情報をネット上にさらしてしまう可能性があります。たとえば、アプリ用のお薬手帳に印字されているQRコードには処方箋の情報が埋め込まれています。また、QRコードはバーコードと異なり、一部が隠れていたり汚損したりしていても読み取れるように設計されています。SNSに写真や動画を投稿する場合は、文字だけではなく2次元コードやバーコード全体をマスキングすることを忘れないでください。