Security

QRコードに脆弱性?何百回、何千回に1回は別のURLへ誘導も。神戸大学 森井教授が注意喚起

こんにちは。
@OfficeTAKUです。

QRコード、便利ですね。
最近は飲食店はじめ色んなお店に表示されてて、クーポン欲しさにスマホで「ピッ」て読み込んでサイトにアクセスしたりしています。
飛行機に乗る時はQRコードを表示してタッチだけで済んでしまいます。楽になったものです。

「偽装QRコード」で全く別のサイトへ誘導される

神戸大学大学院工学研究科 森井 昌克 教授 によると、コードを作成する際に不正な操作を加えると、本来の情報に加えて、偽の情報を仕込むことができることがわかったとのこと。

つまり、AというサイトのURLを表すQRコードに、BというサイトのURLを仕込むことができるそうです。
しかも、たちが悪いのは、その本来のサイトではないBというサイトのURLが読み込まれるのは、何百回、何千回に1回ということ。
その1回でBというサイトへ誘導されても、また次に読み込んだ時は正常なAというサイトが表示される、とのこと。
つまり、BというサイトがAを真似した詐欺サイトであった場合、その1回でIDとパスワードを盗まれる、ということが起こりうるわけです。

これは恐ろしいですね。

森井教授によると、この「偽装QRコード」に関して、

任意のURLで、任意の悪性サイトに誘導する技術と、この確率の制御をQRコードアプリの認識アルゴリズムに依存することなく、正確に行う技術を開発し、それに成功しています。

と、いうことは当然、悪用するやからが現れても不思議はない、ということです。

QRコードで読み取ったURLをしっかりと確認すること

森井教授によると、一般の人がとるべき対策は、

・QRコード認識アプリが読み取ったURLを、目で見て確認する
・自動的にそのサイトを表示するQRコード認識アプリは使わない

と、いうことだそうです。

iPhoneのカメラでQRコードを読み込んだ場合

現在の iPhone では、カメラでQRコードを映すと、Safariのポップアプメッセージが現れ、その中にURLが表示されています。
このURLが、いま表示したいWebサイトであっているのかどうか、よく確認してから開きましょう。
iPhoneでQRコードを表示

森井教授によるYahoo!ニュースの記事には、「偽装QRコード」が掲載されています。
・ほとんどの場合、正常なサイト(神戸大学 森井教授の研究室のサイト)
・確率1/5~1/10で悪性サイトを模したサイト(研究室で用意した無害なサイト)

iPhone お父さんQR

私はiPhoneが標準ではQRコードを読み込めない時代から使用していましたので、QRコードに関しては Softbank製のお父さんのQRコードアプリを利用しています。

このアプリであれば、読み取ったURLが表示され、アプリ内で開くか、Safariで開くかを確認されます。URLがフルに表示されますので、より確認しやすいかもしれません。
森井教授の「偽装QRコード」を読み込んでみました。

■ 正常なサイト

アプリの表示
iPhoneでQRコードを表示
開いたサイト
iPhoneでQRコードを表示

■ 悪性サイトを模したサイト
本当に10回目くらいでようやく表示されました。

アプリの表示
iPhoneでQRコードを表示
開いたサイト
iPhoneでQRコードを表示

今回発見された脆弱性ではないものの、別のQRコード上から貼り付けて違うサイトへ誘導するなどの詐欺が発生しているようです。
注意して利用したいですね。

詳しくは、森井教授によるYahoo!ニュースの記事をご確認下さい。

気を付けろ!QRコードに脆弱性? その深刻さと騙されないための対策(森井昌克) – 個人 – Yahoo!ニュース
https://news.yahoo.co.jp/byline/moriimasakatsu/20180624-00086884/

ピックアップ記事

  1. プリンター ブラザー DCP-J973N 導入記。お手頃価格でセッティングも取り…
  2. Scratch (スクラッチ)を ちょっとだけ勉強して、かんたんな作品『のっティ…
  3. Amazonプライム・ビデオで今見ておくべき作品
  4. [レビュー] Lenovo Ideacentre 720 使えば手放したくなくな…
  5. [レビュー] Lenovo Ideapad 520 スタンダードな充実ノートパソ…

関連記事

  1. カミナリ対策してますか

    Security

    カミナリでパソコン昇天、落雷が落涙にならないように…

    こんにちは。カミナリこわい、@OfficeTAKUです。…

  2. Security

    【注意!】Lineを騙った詐欺メールが出回っています!

    こんにちは。@OfficeTAKUです。インターネットは自…

  3. Security

    架空請求詐欺 メール : M・U・F債権回収株式会社、日本IT関連総合弁護団

    こんにちは。もうすぐ財産差し押さえられそうな @OfficeTAK…

最近の記事

  1. Photo by Burst on Unsplash
  2. Photo by rawpixel on Unsplash
  3. Lenovo Explorer with Motion Controllers
  4. Photo by Ben Hershey on Unsplash
  5. Photo by Piotr Cichosz on Unsplash

人気の記事

  1. Photo by Ben Hershey on Unsplash
  2. Lenovo Mirage Camera with Daydream
  3. Photo by JESHOOTS.COM on Unsplash
  4. 芝寿し「冷凍寿し 小袖棒寿し 甘えび」
  1. Photo by Szűcs László on Unsplash

    Mac

    [Mac] Macで時報をアナウンスさせるようにしたら意外と便利です
  2. Photo by Perfecto Capucine on Unsplash

    電子書籍

    [Kindle] 電子書籍リーダー Kindle Paper White が防水…
  3. Security

    [Instagram] 乗っ取られる前に!インスタグラム、二段階認証でセキュリテ…
  4. Microsoft PowerPoint MVP 河合浩之

    PowerPoint

    [PPT] あなたのPowerPointプレゼンテーションを劇的に変えてしまうで…
  5. Dudios Zeus Plus Bluetooth イヤホン

    ハードウェア

    [レビュー] Dudios Zeus Plus Bluetooth イヤホン試用…
PAGE TOP