Security

QRコードに脆弱性?何百回、何千回に1回は別のURLへ誘導も。神戸大学 森井教授が注意喚起

こんにちは。
@OfficeTAKUです。

QRコード、便利ですね。
最近は飲食店はじめ色んなお店に表示されてて、クーポン欲しさにスマホで「ピッ」て読み込んでサイトにアクセスしたりしています。
飛行機に乗る時はQRコードを表示してタッチだけで済んでしまいます。楽になったものです。

「偽装QRコード」で全く別のサイトへ誘導される

神戸大学大学院工学研究科 森井 昌克 教授 によると、コードを作成する際に不正な操作を加えると、本来の情報に加えて、偽の情報を仕込むことができることがわかったとのこと。

つまり、AというサイトのURLを表すQRコードに、BというサイトのURLを仕込むことができるそうです。
しかも、たちが悪いのは、その本来のサイトではないBというサイトのURLが読み込まれるのは、何百回、何千回に1回ということ。
その1回でBというサイトへ誘導されても、また次に読み込んだ時は正常なAというサイトが表示される、とのこと。
つまり、BというサイトがAを真似した詐欺サイトであった場合、その1回でIDとパスワードを盗まれる、ということが起こりうるわけです。

これは恐ろしいですね。

森井教授によると、この「偽装QRコード」に関して、

任意のURLで、任意の悪性サイトに誘導する技術と、この確率の制御をQRコードアプリの認識アルゴリズムに依存することなく、正確に行う技術を開発し、それに成功しています。

と、いうことは当然、悪用するやからが現れても不思議はない、ということです。

QRコードで読み取ったURLをしっかりと確認すること

森井教授によると、一般の人がとるべき対策は、

・QRコード認識アプリが読み取ったURLを、目で見て確認する
・自動的にそのサイトを表示するQRコード認識アプリは使わない

と、いうことだそうです。

iPhoneのカメラでQRコードを読み込んだ場合

現在の iPhone では、カメラでQRコードを映すと、Safariのポップアプメッセージが現れ、その中にURLが表示されています。
このURLが、いま表示したいWebサイトであっているのかどうか、よく確認してから開きましょう。
iPhoneでQRコードを表示

森井教授によるYahoo!ニュースの記事には、「偽装QRコード」が掲載されています。
・ほとんどの場合、正常なサイト(神戸大学 森井教授の研究室のサイト)
・確率1/5~1/10で悪性サイトを模したサイト(研究室で用意した無害なサイト)

iPhone お父さんQR

私はiPhoneが標準ではQRコードを読み込めない時代から使用していましたので、QRコードに関しては Softbank製のお父さんのQRコードアプリを利用しています。

このアプリであれば、読み取ったURLが表示され、アプリ内で開くか、Safariで開くかを確認されます。URLがフルに表示されますので、より確認しやすいかもしれません。
森井教授の「偽装QRコード」を読み込んでみました。

■ 正常なサイト

アプリの表示
iPhoneでQRコードを表示
開いたサイト
iPhoneでQRコードを表示

■ 悪性サイトを模したサイト
本当に10回目くらいでようやく表示されました。

アプリの表示
iPhoneでQRコードを表示
開いたサイト
iPhoneでQRコードを表示

今回発見された脆弱性ではないものの、別のQRコード上から貼り付けて違うサイトへ誘導するなどの詐欺が発生しているようです。
注意して利用したいですね。

詳しくは、森井教授によるYahoo!ニュースの記事をご確認下さい。

気を付けろ!QRコードに脆弱性? その深刻さと騙されないための対策(森井昌克) – 個人 – Yahoo!ニュース
https://news.yahoo.co.jp/byline/moriimasakatsu/20180624-00086884/

Excel 分析ツールアドイン エラー[Excel] 分析ツールアドインを追加しようとしたら「ANALYS32.XLL にアクセスできません。」エラーが表示された前のページ

[Excel 2016] ヒストグラムの棒の枠線を消すには「線なし」ではなく、「幅を0pt」 にする次のページ

ピックアップ記事

  1. 忙しい朝もコーヒーは欠かせない!お湯を沸かすのすら面倒な人におすすめ!ネスカフェ…
  2. 【レビュー】これはおすすめ!13インチ MacBook Pro にぴったりな I…
  3. 【Instagram】iPhoneアプリ版インスタグラムアカウントを非公開アカウ…
  4. [Amazon] アマゾンで「NHKこどもパーク」開始!月額390円で「ワンワン…
  5. 記憶と記録をデジタル化しておくことの重要性と検討すべき項目を整理してみた

関連記事

  1. Security

    【iPhone】 メッセージに「タカヒロ」Ta-KA-1208…からの迷惑メールが届くのでうざい

    こんにちは。「オレ、斉藤工だったけ?」と一瞬たりとも思わなかった …

  2. Security

    【注意】楽天を装った詐欺メール「お支払い情報が使えません」

    こんにちは。@OfficeTAKUです。これも以前から…

  3. Security

    【注意】不在通知を装う詐欺メールがでまわっています!

    こんにちは。@OfficeTAKUです。スパムメール、…

  4. iPhone 長いパスコードの入力画面

    iOS

    [iPhone/iPad] より安全に!長いパスコードを利用する

    こんにちは。@OfficeTAKUです。iPhone5 の…

  5. スパムメール

LINE公式アカウント:OfficeTAKU

OfficeTAKU Line公式アカウントバナー

最近の記事

日比谷花壇_毎月楽しむお花のある暮らし特集

人気の記事

  1. Surface Mobile Mouse
  1. WebService

    Amazonプライム・ビデオで今見ておくべき作品
  2. Word

    [Word]「文字の均等割り付け」を上手に使って見栄えの良い文書に!
  3. Mac ハングル入力

    Mac

    【Mac】 Mac でハングルを入力する方法
  4. Dudios Zeus Plus Bluetooth イヤホン

    ハードウェア

    [レビュー] Dudios Zeus Plus Bluetooth イヤホン試用…
  5. Photo by Samuel Zeller on Unsplash

    Excel

    [Excel] エクセルで目標日までのカウントダウンを表示する
PAGE TOP