QRコードに脆弱性? 深刻さは [ニュース]
https://news.yahoo.co.jp/byline/moriimasakatsu/20180624-00086884/
電子決済や広告などに広く利用されている「QRコード」に、偽の情報を仕込むことができるセキュリティ上の弱点があることが、神戸大学のグループの研究でわかりました。この弱点を悪用すると、利用者を一定の割合で不正なサイトに誘導することも可能で、グループではセキュリティー対策の強化が必要だとしています。
出典:QRコードにセキュリティー上の弱点 不正サイトに誘導も【NHK NEWS WEB】この記事およびNHKでの2018年6月23日(土)午後6時のニュース映像の通りなのですが、開発者本人から説明し、その深刻さとどのように悪用されるのか、さらにQRコードを利用している一般の人がとるべき対策について解説します。
一言でいうと、まったく同一のQRコードで、AというURL(ウエッブサイト)に飛ぶ時もあれば、BというURLに飛ぶ時もあるという、いわば「気まぐれなQRコード」を開発したということです。それぞれのURLに飛んでいく確率を制御することができます。このQRコードをここでは「偽装QRコード」と呼ぶことにします。これを悪用すれば、通常は正常なサイトに飛んでいくのですが、何百回、何千回に1回は、悪性サイト、たとえばその正常なサイトを模したフィッシングサイトに飛ばされて詐欺に遭うことになるのです。そのような面倒なことをすることなく、最初からフィッシングサイトに飛んでいくQRコードを作り、それを配布すれば良いではないかと思われるかもしれません。それでは配布してもすぐに発見されてしまいます。特に不特定多数に告知するウェッブ等に張り付ける際は顕著です。この偽装QRコードを使えば、最初に配布された偽装QRコードを注意深く調べた、つまり正常なサイトに飛んでいくか否かを逐次調べたとしても、まったく気付かれることはありません。何百回、何千回も使っていると、突然、悪性サイトに飛ばされるのです。多数の人に利用させることができれば効果はてきめんです。もし悪性サイトに飛ばされ、再度、チェックしても再現性はなく、今度は正常なサイトに飛ぶことに確認することができません。
この偽装QRコードを作成できることの深刻さについて説明します。まず、すでに利用されている(張り付けられている)QRコードについて、そのQRコードと同一のQRコードで、他のURLに飛ばすことは、改ざんされたデコーダー(QRコード認識アプリ)を配布しない限り当然不可能です。この偽装QRコードが深刻な脆弱性に結び付くのは、新たなQRコードを配布する場合です。例えば、新規サイトに誘導するQRコードを作成する場合、QRコードを作ることができるシステム開発会社に依頼するか、もしくはフリーのQRコード作成プログラム、さらにQRコード作成サイトを利用して作成します。このとき、依頼したシステム開発会社やQRコード作成サイト等に悪意があったり、不正アクセス等を受けて、QRコード作成プログラムが改ざんされている場合、上述の偽装QRコードが作成されてしまいます。その偽装QRコードを配布した場合、当初は問題なく正常なサイトに誘導され、時間が経ってから、悪意のある別なサイトに誘導されてしまうことになるのです。これはほとんど再現性がないため、チェックを行っても発見が難しく、対策を取ることを遅らすことが可能です。特にその悪意のある別なサイトが、識別が難しいフィッシングサイト(正常なサイトににして作られ、詐欺をはたらくサイト)であれば、さらに発見が困難で、被害を広げることになります。
現在開発中であり、詳細をここで報告することはできませんが、例えば以下のQRコードは、ほとんどの場合は正常なサイト(神戸大学での私の研究室のサイト)に誘導しますが、確率1/5~1/10で悪性サイトを模したサイト(研究室で用意した無害なサイト)に誘導されます。ただし初期バージョンのプロトタイプなので、QRコードアプリ(ソフト)によっては、その確率はかなり変動します。任意のURLで、任意の悪性サイトに誘導する技術と、この確率の制御をQRコードアプリの認識アルゴリズムに依存することなく、正確に行う技術を開発し、それに成功しています。
では、一般の人がとるべき対策ですが、QRコード認識アプリでURLを読み込む際には、必ず認識したURLを確認してから、そのURLを表示させるということです。QRコード認識アプリによっては、QRコードを撮影すると、自動的にそのサイトを表示するものがあります。それは非常に危険です。かならず、QRコードを撮影した場合、QRコード認識アプリが読み取ったURLを、目で見て確認するべきです。
これは偽装QRコードへの対策に限ったわけではありません。QRコードの最大の欠点は人間が理解できないことです。つまりQRコードにどのような情報が格納されているか、目で見てもわからず、QRコード認識アプリやソフトを使わなければならないということです。このことが最大の脆弱性につながっています。
QRコードは目に見えないため(データの内容が認識できないため)、盲目的な安心感を植え付けてしまいがちです。決済のサービスを行う側はその十分な対策を講じることはもちろんですが、利用者もQRコードの特質を理解することも求められます。
出典:QRコードのここがダメ?【YAHOO!JAPANニュース個人】ツイートシェアブックマーク
solo-tourist ソロツーリスト ビニールトートバッグ VT-A3 A3サイズ 透明クリア(va0a235)
価格: 1,728円 レビュー評価:5.0 レビュー数:2
【検索ワード】海外旅行用/旅行用品/トラベル/ヴァリュウ物産/ソロツーリストバッグ/ビニールトートバッグ/solo-tourist/透明バッグ/ビニールバッグ袋/透明クリア/透ける/中の見える/中が見える/防水用/雨の日用/レイングッズ/大きい/大きめ/特大サイズ/でかい/A3サイズ/A4入る/透明ケース/手提げ袋/手さげ袋/鞄/カバン/かばん/保護用バッグ/プールバッグ/海水浴/温泉/川・海・水辺用/レジャー用/水泳用/トラベルバッグ/手さげタイプ/シンプルトートバッグ/旅行用品/旅行便利グッズ/海外旅行グッズ/旅行かばん/旅行バッグ/旅行用バッグ/旅行鞄/スポーツバッグ/アウトドア用/大型
Supported by 楽天ウェブサービス
相鉄フレッサイン 銀座七丁目(2016年10月1日オープン)
新潟のホテル・旅館を調べました
森町のホテル・旅館口コミ情報
露天風呂 日帰りのホテル・旅館サイト
大濠公園のホテル・旅館を探してる?
阿寒国立公園の最新ホテル・旅館情報。
鶴ヶ島市のホテル・旅館お勧めはここ!
天王寺動物園の最新ホテル・旅館情報。
鎌倉のホテル・旅館濃い情報
瀬戸大橋記念館のホテル・旅館ネット予約
佐呂間町のホテル・旅館比較口コミ
岩沼市のホテル・旅館を調べました
阿蘇くじゅう国立公園のホテル・旅館情報
さくらんぼ 日帰りのホテル・旅館情報
伊勢崎市の激安ホテル・旅館
カシオペアのホテル・旅館お勧めはここ!
棟方志功記念館のホテル・旅館濃い情報
電子決済や広告などに広く利用されている「QRコード」に、偽の情報を仕込むことができるセキュリティ上の弱点があることが、神戸大学のグループの研究でわかりました。この弱点を悪用すると、利用者を一定の割合で不正なサイトに誘導することも可能で、グループではセキュリティー対策の強化が必要だとしています。
出典:QRコードにセキュリティー上の弱点 不正サイトに誘導も【NHK NEWS WEB】この記事およびNHKでの2018年6月23日(土)午後6時のニュース映像の通りなのですが、開発者本人から説明し、その深刻さとどのように悪用されるのか、さらにQRコードを利用している一般の人がとるべき対策について解説します。
一言でいうと、まったく同一のQRコードで、AというURL(ウエッブサイト)に飛ぶ時もあれば、BというURLに飛ぶ時もあるという、いわば「気まぐれなQRコード」を開発したということです。それぞれのURLに飛んでいく確率を制御することができます。このQRコードをここでは「偽装QRコード」と呼ぶことにします。これを悪用すれば、通常は正常なサイトに飛んでいくのですが、何百回、何千回に1回は、悪性サイト、たとえばその正常なサイトを模したフィッシングサイトに飛ばされて詐欺に遭うことになるのです。そのような面倒なことをすることなく、最初からフィッシングサイトに飛んでいくQRコードを作り、それを配布すれば良いではないかと思われるかもしれません。それでは配布してもすぐに発見されてしまいます。特に不特定多数に告知するウェッブ等に張り付ける際は顕著です。この偽装QRコードを使えば、最初に配布された偽装QRコードを注意深く調べた、つまり正常なサイトに飛んでいくか否かを逐次調べたとしても、まったく気付かれることはありません。何百回、何千回も使っていると、突然、悪性サイトに飛ばされるのです。多数の人に利用させることができれば効果はてきめんです。もし悪性サイトに飛ばされ、再度、チェックしても再現性はなく、今度は正常なサイトに飛ぶことに確認することができません。
この偽装QRコードを作成できることの深刻さについて説明します。まず、すでに利用されている(張り付けられている)QRコードについて、そのQRコードと同一のQRコードで、他のURLに飛ばすことは、改ざんされたデコーダー(QRコード認識アプリ)を配布しない限り当然不可能です。この偽装QRコードが深刻な脆弱性に結び付くのは、新たなQRコードを配布する場合です。例えば、新規サイトに誘導するQRコードを作成する場合、QRコードを作ることができるシステム開発会社に依頼するか、もしくはフリーのQRコード作成プログラム、さらにQRコード作成サイトを利用して作成します。このとき、依頼したシステム開発会社やQRコード作成サイト等に悪意があったり、不正アクセス等を受けて、QRコード作成プログラムが改ざんされている場合、上述の偽装QRコードが作成されてしまいます。その偽装QRコードを配布した場合、当初は問題なく正常なサイトに誘導され、時間が経ってから、悪意のある別なサイトに誘導されてしまうことになるのです。これはほとんど再現性がないため、チェックを行っても発見が難しく、対策を取ることを遅らすことが可能です。特にその悪意のある別なサイトが、識別が難しいフィッシングサイト(正常なサイトににして作られ、詐欺をはたらくサイト)であれば、さらに発見が困難で、被害を広げることになります。
現在開発中であり、詳細をここで報告することはできませんが、例えば以下のQRコードは、ほとんどの場合は正常なサイト(神戸大学での私の研究室のサイト)に誘導しますが、確率1/5~1/10で悪性サイトを模したサイト(研究室で用意した無害なサイト)に誘導されます。ただし初期バージョンのプロトタイプなので、QRコードアプリ(ソフト)によっては、その確率はかなり変動します。任意のURLで、任意の悪性サイトに誘導する技術と、この確率の制御をQRコードアプリの認識アルゴリズムに依存することなく、正確に行う技術を開発し、それに成功しています。
では、一般の人がとるべき対策ですが、QRコード認識アプリでURLを読み込む際には、必ず認識したURLを確認してから、そのURLを表示させるということです。QRコード認識アプリによっては、QRコードを撮影すると、自動的にそのサイトを表示するものがあります。それは非常に危険です。かならず、QRコードを撮影した場合、QRコード認識アプリが読み取ったURLを、目で見て確認するべきです。
これは偽装QRコードへの対策に限ったわけではありません。QRコードの最大の欠点は人間が理解できないことです。つまりQRコードにどのような情報が格納されているか、目で見てもわからず、QRコード認識アプリやソフトを使わなければならないということです。このことが最大の脆弱性につながっています。
QRコードは目に見えないため(データの内容が認識できないため)、盲目的な安心感を植え付けてしまいがちです。決済のサービスを行う側はその十分な対策を講じることはもちろんですが、利用者もQRコードの特質を理解することも求められます。
出典:QRコードのここがダメ?【YAHOO!JAPANニュース個人】ツイートシェアブックマーク
solo-tourist ソロツーリスト ビニールトートバッグ VT-A3 A3サイズ 透明クリア(va0a235)価格: 1,728円 レビュー評価:5.0 レビュー数:2
【検索ワード】海外旅行用/旅行用品/トラベル/ヴァリュウ物産/ソロツーリストバッグ/ビニールトートバッグ/solo-tourist/透明バッグ/ビニールバッグ袋/透明クリア/透ける/中の見える/中が見える/防水用/雨の日用/レイングッズ/大きい/大きめ/特大サイズ/でかい/A3サイズ/A4入る/透明ケース/手提げ袋/手さげ袋/鞄/カバン/かばん/保護用バッグ/プールバッグ/海水浴/温泉/川・海・水辺用/レジャー用/水泳用/トラベルバッグ/手さげタイプ/シンプルトートバッグ/旅行用品/旅行便利グッズ/海外旅行グッズ/旅行かばん/旅行バッグ/旅行用バッグ/旅行鞄/スポーツバッグ/アウトドア用/大型
Supported by 楽天ウェブサービス
相鉄フレッサイン 銀座七丁目(2016年10月1日オープン)お客様の声(215件)評価:4.04
住所:東京都中央区銀座7-11-12
JR新橋駅から徒歩7分・東京メトロ銀座駅A3出口から徒歩5分の好立地!都内・空港へのアクセス抜群★
JR新橋駅銀座口から徒歩にて約7分・銀座駅A3出口より徒歩にて約5分
(更新日時:2018/06/24 09:01)
Supported by 楽天ウェブサービス
住所:東京都中央区銀座7-11-12
JR新橋駅から徒歩7分・東京メトロ銀座駅A3出口から徒歩5分の好立地!都内・空港へのアクセス抜群★
JR新橋駅銀座口から徒歩にて約7分・銀座駅A3出口より徒歩にて約5分
(更新日時:2018/06/24 09:01)
Supported by 楽天ウェブサービス
セキュリティのガチガチな最強の場所6選
新潟のホテル・旅館を調べました
森町のホテル・旅館口コミ情報
露天風呂 日帰りのホテル・旅館サイト
大濠公園のホテル・旅館を探してる?
阿寒国立公園の最新ホテル・旅館情報。
鶴ヶ島市のホテル・旅館お勧めはここ!
天王寺動物園の最新ホテル・旅館情報。
鎌倉のホテル・旅館濃い情報
瀬戸大橋記念館のホテル・旅館ネット予約
佐呂間町のホテル・旅館比較口コミ
岩沼市のホテル・旅館を調べました
阿蘇くじゅう国立公園のホテル・旅館情報
さくらんぼ 日帰りのホテル・旅館情報
伊勢崎市の激安ホテル・旅館
カシオペアのホテル・旅館お勧めはここ!
棟方志功記念館のホテル・旅館濃い情報
2018-06-24 09:01
nice!(0)
