QRコードに脆弱性が見つかる! 読み込んだ人を”一定の割合”で不正サイトに誘導

21

2018.06.24

by ゆう

最近では電子決済を進めるために導入が検討されている「QRコード」について、セキュリティ上の問題が見つかったそうです。NHKニュースが伝えています。

どうやら、発見が難しい不正QRコードを作ることが可能みたいですよ……。

不正サイトに飛んだり飛ばなかったりする

バーコードのような四角い図形をスマホで読み取ることで、任意のWebサイトに誘導できる「QRコード」。

今回、神戸大学の研究でわかった脆弱性とは、同じQRコードを読み取った利用者を一定の割合で不正なサイトに誘導できるものだそうです。

Photo credit: preetamrai via Foter.com / CC BY

「一定の割合で」というのが怖いところ。つまり同一のQRコードで多くの人は本来のサイトAに誘導されますが、一定の割合(例えば100人に1人といった割合)の利用者は不正サイトBに誘導されるのだとか。

本来のサイトにも飛ぶので一見問題がないように見えてしまい、不正なQRコードであることに気づきにくいのが特徴とのこと。

また不正サイトに飛ぶ確率は制御できるそうで、例えば「何千回に1回の割合で不正サイトに飛ぶ」という確率だった場合は、不正QRコードの発見が難しくなりそうですよね。

たまたま不正サイトに飛ばされたとしても、再度QRコードを読み取ると今度は本来のサイトに飛ばされる、という挙動なので再現性がなく、これまた発見が難しくなる要因と言えそうです。

幸いにもこの脆弱性を悪用した被害はまだ確認されていないとのこと。

ただこの脆弱性が問題となるのは、悪意のある不正QRコードが新たに発行された場合とのこと。すでに利用中である既存のQRコードは、「悪意あるQRコード読み取りアプリ」などを使わない限り、この脆弱性の影響を受けないようです。

この脆弱性の研究を行った森井昌克教授は、一般の人が取るべき対策として、QRコードを読み取った際に表示されるURLをしっかり目で見て確認するようにと伝えていました。

今後はWebサイトへの誘導だけでなく、電子決済の方法としても注目されているQRコード。不正なQRコードによって代金をだまし取られるような被害が出なければいいのですが……。


ドコモのiPhoneをチェックする

 誰も見てないと思うけど、本当に良いよ。

「AppleCare」に入り忘れた方はコチラ

 条件は最強なのに知られてない↑

コメント数ランキング

ランキングの続きを見る


関連記事