ニュー即ブログν

ニュー即ブログν

シェアする

QRコードにセキュリティ上の弱点見つかる… 不正サイトに誘導も…

シェアする

1: 2018/06/24(日) 12:43:52.19 ID:CAP_USER9

電子決済や広告などに広く利用されている「QRコード」に、偽の情報を仕込むことができるセキュリティ上の弱点があることが、神戸大学のグループの研究でわかりました。この弱点を悪用すると、利用者を一定の割合で不正なサイトに誘導することも可能で、グループではセキュリティー対策の強化が必要だとしています。

QRコードは、インターネットのアドレスなどの情報を白と黒の四角い図形として表示し、スマートフォンなどで読み取るもので、電子決済や広告などに広く利用されています。

このQRコードのセキュリティについて、神戸大学の森井昌克教授らのグループが検証したところ、コードを作成する際に不正な操作を加えると、本来の情報に加えて、偽の情報を仕込むことができることがわかったということです。

これはコードを読み取る際のエラーを修復する機能を悪用したもので、こうして作られたQRコードを読み取ると、多くの場合は本来のサイトに誘導されますが、100人に1人といった一定の割合で、別のサイトなどに誘導することができるということです。

このため、金融機関などにつながると偽装したQRコードが表示されていた場合、本来のサイトに誘導されることもあるため、利用者が不正に気付きにくくなるおそれがあるということです。

こうした弱点を悪用した被害などは、まだ確認されていないということですが、森井教授は「QRコードは急速に普及しているので、今後、狙われる危険性がある。QRコードは一見しただけでは内容がわからないので、誘導された先が正しいかどうかチェックを強化する必要がある」と話しています。

決済などで利用広がる
QRコードは、平成6年に日本の大手自動車部品メーカーが開発した技術で、情報を1枚の図形に盛り込んでスマートフォンなどで読み取ることができます。

読み取りが速く、記録できるデータ量も大きいため、広告や観光案内、それに電子チケットなどさまざまな場面で使われているほか、現金の代わりにQRコードを使った決済サービスも広がり始めています。

このうち、大阪・難波の商業施設では、ことし4月からほぼ全店のおよそ460店に、QRコードで買い物ができるシステムを導入しました。

利用者は買い物をする際に、店側が表示したQRコードをスマートフォンで読み取ることで一瞬で決済することができ、代金は口座から直接、引き落とされます。

QRコードを使った決済サービスは、中国など海外でも広がっていることから、外国からの観光客が利用することも多いということで、この商業施設では開始から2か月で、売り上げの4%をQRコードの決済が占めたいうことです。

買い物客は「サッと会計ができて、とても便利です。現金を出す機会がだいぶ減りました」と話していました。

南海電鉄・なんばCITY担当の黒田康介主任は「スマートフォンさえあれば、買い物ができるという点が非常に魅力で、海外の利用者も多い。セキュリティー対策を万全にしたうえで、今後も利用を広げていきたい」と話していました。
改ざん被害も
QRコードの普及に伴って、QRコードを改ざんしてインターネットの悪質なサイトに誘導したり、現金がだまし取られたりする被害も出ています。

神戸大学の研究グループなどによりますと、QRコードは見ただけでは内容がわからないため、改ざんしたQRコードを読み取らせる手口が多いということです。

このうち、中国ではスーパーで商品ごとに掲示された支払い用のQRコードを、客がスマートフォンで読み取って決済するサービスが普及しているということで、改ざんしたQRコードを正しいコードの上から貼り付ける手口で、代金をだまし取られる被害も相次いでいるということです。

また、国内でもインターネットに掲載したQRコードで、悪質なサイトに誘導して、個人情報などをだまし取ろうとする手口が確認されているということです。

http://www3.nhk.or.jp/news/html/20180623/k10011492631000.html


7: 2018/06/24(日) 12:53:54.02 ID:d71uC8eC0
>>1
LINEpay死亡

2: 2018/06/24(日) 12:45:22.09 ID:T6PQdKIE0

> これは

> コードを読み取る際の
> エラーを修復する機能を

> 悪用したもので、

4: 2018/06/24(日) 12:48:16.98 ID:gGrxCEk90
そもそも…
いや、いいや

5: 2018/06/24(日) 12:49:23.63 ID:iJneEZJ60
中国で偽QRコードシールを大量生産してたのが摘発されたニュース動画見たことあるが、レストランのメニューとかに重ね貼りするそうだから、分からんわな
シール作るコストも激安だろうし

6: 2018/06/24(日) 12:50:25.06 ID:6TS986qb0
過去何度か使ってみたがうまく読み取れないのか違うサイトに飛ばされそうになったことがよくあったので、
最近はQRコード使ってないわ。
今は良くなっているのかな。

8: 2018/06/24(日) 12:54:21.21 ID:pvSwxD110
>>6
それがこの記事なんだよ

9: 2018/06/24(日) 12:54:55.41 ID:W/ch7l4O0
TV録画に使っていたGコードはいつの間にか無くなっていたな
今使ってるビデオデッキのリモコンにGコード読み取り機能があるが全く機能してない

10: 2018/06/24(日) 12:58:06.87 ID:n+Q1tvbK0
中国のスマホ決済壊滅?

13: 2018/06/24(日) 12:58:33.69 ID:oiTVzIL60

おれがちょっと考えただけでも、キャッシュレスなんてので、良からぬことをいろいろと思いつくんだけれども。

そういうことを社会実験の中でひとつひとつ潰していって、それがノウハウみたいになるんだろうけど、
高度成長の日本は全部、自分たちのなかで貯め込んで外に出さなかった。

ヨーロッパのような先進国からみれば、経済発展させてやってる目的はそうした社会実験をやらせてその成果を盗みとることなのに、
それをやらないのであれば潰してしまえ。

逆にいえば、中国が人権や自由を無視して社会実験を繰り返し、その成果を先進国に還元する限り、
中国が潰されることはない。

という妄想。

14: 2018/06/24(日) 12:58:47.97 ID:laOCxN/C0
張り替えられる
ってキ弱性でそ

16: 2018/06/24(日) 13:00:50.06 ID:8crQ9/t10

QRコードは急速に普及している

そうかな?
出始めの頃から全く変わりない状態だと思うけど

スポンサーリンク
17: 2018/06/24(日) 13:01:18.66 ID:oTP47TaY0
>>16
ただし日本を除く

30: 2018/06/24(日) 13:21:43.73 ID:sfOcOPQY0
>>17
あのう、QRコードは日本発祥なんですが・・・

40: 2018/06/24(日) 13:31:38.55 ID:kHC83T970
>>30
八木アンテナと同じことになってるな

53: 2018/06/24(日) 13:48:12.98 ID:MhTwLyo50
>>30
そもそもデンソーは自分とこの工場で使うことが前提で決済に使うとかアホなことまで想定していないw
25年前くらいの技術なんだぞw

67: 2018/06/24(日) 14:11:11.40 ID:oTP47TaY0
>>30
QRはライセンス料無料だから普及が進んだ
日本は有料のsuicaを大人の事情で普及させたからガラパゴス化した

19: 2018/06/24(日) 13:02:42.43 ID:W959HuuO0
攻撃があまりに簡単すぎる
やっぱり現金が確実か

44: 2018/06/24(日) 13:38:24.33 ID:d71uC8eC0
>>19
堅実なことで有名なドイツ人が
一番の現金主義だからな

28: 2018/06/24(日) 13:16:33.25 ID:6xEb9JLI0
現金払い最強

ピックアップ!
ピックアップ!

20: 2018/06/24(日) 13:07:00.72 ID:voF+c5o/0

ここにアクセスしてね!

が貼り替えられると、100人に1人が被害に遭うかもってやつだな。

ソフト側の生成する時点での欠陥だから、新しい奴には対処は比較的容易だな。

25: 2018/06/24(日) 13:13:04.42 ID:2gcqOncg0
>>20
張替えってより、QRコードの生成ルーチンを書き換えられる
方が深刻だな。ウイルスに仕込んでターゲットのQRコード
生成部を改竄。それに気づかずにQRコードを作ると
99%は意図した通り読めるが1%の確率で仕込みが
発動する。
この仕込みありQRコードを正規ページに貼ってしまうと…

21: 2018/06/24(日) 13:07:42.18 ID:euNtHtu70
意味わからん。そもそも最初から怪しいQRコードを読まなければ良いだけでは?

22: 2018/06/24(日) 13:08:17.95 ID:voF+c5o/0

>>21
世の中

馬鹿ばっかり

23: 2018/06/24(日) 13:10:38.08 ID:bhtkLgU70
チェックサム的なのは無いのか?

27: 2018/06/24(日) 13:13:52.30 ID:xhfvKMEE0
>>23
その仕組に脆弱性がみつかって悪用されることがありうると言ってるだと思う

34: 2018/06/24(日) 13:24:33.99 ID:HPtZC0eI0
>>23
それを利用した脆弱性ってこと

57: 2018/06/24(日) 13:53:58.31 ID:p+I/a0RA0

>>23
単なるurlだとQRコードの仕様自体のチェックサム機能が働いて、ビミョーなQR画像が解釈の違いから
99回は銀行サイト
1回は詐欺サイト
につながるというようなことだと思う。

支払いQRコードの場合は、ペイメント会社が設定したチェックサムが機能する形で、上記のようなビミョーな判定は起こらない。

31: 2018/06/24(日) 13:22:01.10 ID:nrrdzXP80
例えば地震が起きたときに赤十字に直接送金できるQRですっていってfacebookで拡散させて、1/100くらいで自分に送金できるようになってるとボロ儲けてきるな

32: 2018/06/24(日) 13:24:26.09 ID:7DYOQWkh0
これ俺は昔からずっと言ってたんだよなぁ…

33: 2018/06/24(日) 13:24:32.17 ID:Wn/rfCmB0

> 100人に1人といった一定の割合で、別のサイトなどに誘導

誤り訂正の処理に乱数でも使ってんのか?

36: 2018/06/24(日) 13:28:14.37 ID:pnfwWOGV0

このため、金融機関などにつながると偽装したQRコードが表示されていた場合、本来のサイトに誘導されることもあるため

あの、偽装されていた時点で終わってんじゃないの?何が言いたいのか謎なのだが

37: 2018/06/24(日) 13:28:54.98 ID:xzA84o6e0
focusが甘い状態で読むと別のアドレスになるとか?
下半分隠されたら別のアドレスになるとか?

38: 2018/06/24(日) 13:29:25.20 ID:LKnz/vWI0
日本はもっと上位の決済使ってるからQR必要無い

39: 2018/06/24(日) 13:30:09.30 ID:0+Kpe38B0
QRコードのコピペあったよね
データが全部消えるんだっけ

45: 2018/06/24(日) 13:40:26.46 ID:nTYgXX+v0
もうスマホならURLの文字列を認識できるでしょ
QRコードなんて可読性もないし上からシール貼られたら終わり

46: 2018/06/24(日) 13:41:23.04 ID:x1ryenYu0
QRコードに二つのデータを載せられるのか

47: 2018/06/24(日) 13:41:37.04 ID:AKSH9jNO0

■正しいQRコード
コードに設定されたアドレス:A
コードを読み取った時の表示:A
実際に開かれるアドレス  :A

■不正なQRコード
コードに設定されたアドレス:A (B)
コードを読み取った時の表示:A ←①
コードを読み取った時の表示:A  B ←②
実際に開かれるアドレス  :B

QRコードのエラー訂正の仕組みを使って(B)を仕込める、てことかな

①なのか②なのか知らんけど
②は昔流行った「JK.jpg .exe」みたいなものか

49: 2018/06/24(日) 13:44:46.19 ID:HNSHqNgi0
これ脆弱性か?

52: 2018/06/24(日) 13:47:42.57 ID:x1ryenYu0
リーダーを工夫すれば回避できそうやけどな

54: 2018/06/24(日) 13:49:01.88 ID:jSmm5FPA0
微信終了

56: 2018/06/24(日) 13:52:25.61 ID:eXmQeUxx0
セキュリティ性の高い
SQRCにすれば解決

58: 2018/06/24(日) 13:54:01.27 ID:x1ryenYu0
リーダーが取得画像から何パターンか汚した画像を生成して認識させて多数決取ればいいんじゃね

59: 2018/06/24(日) 13:54:35.35 ID:i1EAAAt8O
こんな物を決済に使うとか支那人は野蛮だとは思ってた
こんな簡単にコピー出来るような物を

85: 2018/06/24(日) 14:34:18.73 ID:0qXQjJyX0
>>59
URLにつかう場合はやばいけど、
決済に使う場合は関係ないじゃん

89: 2018/06/24(日) 14:35:55.56 ID:mMKouP/X0
>>85
どうやって決済するんだ?

61: 2018/06/24(日) 13:55:41.43 ID:172cruIe0
スマホみたいなきじゃくせいの塊みたいなもんで決済するのやめりゃいいんだよ

62: 2018/06/24(日) 14:04:26.43 ID:2cYecqYR0
こんなもんソフトウェアで十分対策可能だろ

66: 2018/06/24(日) 14:08:22.14 ID:kNd7738K0
QRコード自体の問題ではないだろ
ハードウェアの方で画像を完璧に読み取ればごまかしようがない

74: 2018/06/24(日) 14:25:27.94 ID:mMKouP/X0
気づくの遅すぎw
そんなリスク存在しないって吠えてた信者今頃どんな顔してるかな

75: 2018/06/24(日) 14:26:16.90 ID:wHx9QO7m0
読み取ってページ遷移する前にURLしっかり見て確認するしかないけど
普通QRコードって読み取り後にURLを確認してから移動するもんじゃないの?
別に脆弱性利用しなくても、最初から不正サイトに誘導するような
QRコードだったりするかもしれないんだしさ

77: 2018/06/24(日) 14:27:27.27 ID:mMKouP/X0
>>75
誰もそんなもん見てないよ

82: 2018/06/24(日) 14:32:05.18 ID:wHx9QO7m0
>>77
普通見るやろw

86: 2018/06/24(日) 14:35:01.61 ID:mMKouP/X0
>>82
俺は見る
お前も見るだろう
それだけ

78: 2018/06/24(日) 14:27:40.14 ID:SJeNW4ge0
内容のハッシュとかついてなかったんか?

81: 2018/06/24(日) 14:30:09.32 ID:haeBzplF0
やっぱりフェリカのが信頼できるなぁ