オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

QRコードを使ったフィッシングは、騙す側も騙される側も超簡単ですな

»
QRコードを使ったフィッシングに気をつけろ!スラッシュドット・ジャパンより

携帯電話にQRコードリーダー機能が搭載されるようになり、最近では色々なところで見かけるQRコードですが、これを悪用する事例があるようです(Web担当者Forumの記事)。

その手口は非常に簡単で、町中の看板やポスターなどに印刷されているQRコードの上に、誘導したいサイトの情報を入れたQRコードを貼り付けるだけ。知らずにユーザーがQRコードをスキャンすると、別のサイトに飛ばされる、という仕組みです。

いまのところ大きな被害はでていないのですが、たとえばキャンペーンサイトなどの場合、本物のサイトとそっくりなサイトを作って個人情報を収集する、といったことも十分考えられます。

 

なるほど!これは考えもつかなかったですが、十分にアリな手口ですね。

カメラ付きケータイが当たり前の時代にもなり、それなりに入力しやすくなった?慣れた?ケータイの文字入力でも、サイトアドレスを入力するのは結構面倒だったりします。なので、気になるものがあれば、QRコードを読み取り飛んでしまう方法が、もっとも効率イイですね。

しかーし!こんな方法で飛んでしまうことがあるのならば、何を信用すれば良いのでしょう?

QRコードそのものを作ることは簡単にできます。Webのサービスもあればフリーのツールもたくさんあります。私も名刺にQRコードを使っています。ケータイに簡単に取り込めるために使ってます。機種により若干読み取りの違いがありますが、簡単なURL程度であれば十分可能です。

イタズラするならば、マジックなどで塗ってしまえば読み取り出来なくなってしまう。まだそれのがいいかもしれません。

そのQRコードがついたポスターや、タクシーの中などで、読み取ったものが意図しないものだとしても、つながった後にしかわかりません。これが巧みに作り込まれたものであれば、そもそも、そのサイトに行くのがはじめてな訳ですから、比較のしようもありましぇん。

ケータイでよくある「空メールを送ると返信が来る」方式だと、アドレス収集にも使えちゃいますね。

せっかくの便利なQRコードが、こんな使われ方をされ、悪意な普及をしてしまうと使われなくなっちゃいます。

QRコードの正当性を調べるためのQRコードなるものが出てくるのでしょうか?セキュリティのいたちごっこな部分がこんなところに見え隠れしてしまうところが、永遠の課題だったりします。

何をもって、何を信頼?何を信用するのか?。。。「タダより高いものはない」とよく言われますが、「便利なものにも裏がある」のでしょうか?そうは思いたくないですが、それも現実なのかもしれませんね。

Comment(2)

コメント

対応策はあります

QRコードに入ってるのは「文字列」です

なので配布物に内容(URLまたはメルアド)も
表記しておくのです

ケータイのQRリーダーは入力内容が表示されますから
そこで確認してもらう事ができます
(直接リンク先を表示したり、メールを送信する事はありません)

確認しなくて引っかかった人がいたなら
その人の過失です

姫さん、コメントありがとうございます。

>ケータイのQRリーダーは入力内容が表示され
もちろん、そうなのですが、ココを確認までしているのでしょうか?全面的に信用しちゃう?疑わないのが間違いかもしれませんが。。。

>確認しなくて引っかかった人がいたならその人の過失
仰る部分、十分に理解してます。確認しないで引っかかるのですから過失です。が、現状そこまでQRコードの危険は認知されてないと思います。

QRコードに限らず、何事も再確認は必須事項ですね。

コメントを投稿する