QRコードから不正サイトに誘導するクイッシング
2023年(令和5年)10月30日に、学習院大学は「大学案内2024」に掲載されていた「受験生応援サイトintro!」のQRコードが、不正なリンク先に転送されていることが判明したと発表しました。
2023年(令和5年)11月13日には、オートバックスセブンが、会員向けのダイレクトメールで、会員制度のリニューアルのホームページを案内するQRコードから、予定していない広告サイトへジャンプするケースがあったことを発表しました。
正常に読み取れるが、悪意のあるサイトのURLが含まれているようなQRコードを使ったフィッシング詐欺を「クイッシング」(Quishing)と呼び、セキュリティ企業のチェック・ポイントによると、2023年(令和5年)8月から9月にかけて587%増加していると警告を発しています。
肉眼でQRコードにどのようなURLが埋め込まれているか見ることができず、また、PayPayやLINE PayなどQRコードによる電子決済が普及していることから、無防備にQRコードからリンク先にアクセスする機会が増えたと考えられます。
さらに、2023年(令和5年)10月23日に東海大学の研究チームが発表した「不可視光レーザ照射を利用した偽装QRコードの長距離化への挑戦」によると、100メートル離れた場所からQRコードに目に見えないレーザー光を照射し、QRコードを上書きし、悪意のあるサイトのURLを埋め込むことが可能だといいます。こうなると、街中や店舗に掲示されているQRコードにもリスクが潜んでいます。
下記のような対策が有効です。
2023年(令和5年)11月13日には、オートバックスセブンが、会員向けのダイレクトメールで、会員制度のリニューアルのホームページを案内するQRコードから、予定していない広告サイトへジャンプするケースがあったことを発表しました。
正常に読み取れるが、悪意のあるサイトのURLが含まれているようなQRコードを使ったフィッシング詐欺を「クイッシング」(Quishing)と呼び、セキュリティ企業のチェック・ポイントによると、2023年(令和5年)8月から9月にかけて587%増加していると警告を発しています。
肉眼でQRコードにどのようなURLが埋め込まれているか見ることができず、また、PayPayやLINE PayなどQRコードによる電子決済が普及していることから、無防備にQRコードからリンク先にアクセスする機会が増えたと考えられます。
さらに、2023年(令和5年)10月23日に東海大学の研究チームが発表した「不可視光レーザ照射を利用した偽装QRコードの長距離化への挑戦」によると、100メートル離れた場所からQRコードに目に見えないレーザー光を照射し、QRコードを上書きし、悪意のあるサイトのURLを埋め込むことが可能だといいます。こうなると、街中や店舗に掲示されているQRコードにもリスクが潜んでいます。
下記のような対策が有効です。
- 街中に掲示されていたり、メールなどで送られてきたQRコードのリンク先に不用意にアクセスしない。アクセスする前に掲示者、送信者を確認する。
- PCやスマホにセキュリティ対策ソフトを導入し、最新状態に保つ。悪意のあるサイトだという警告を表示したら、すぐに脱出する。
- 通販やネットバンキングなど、重要なサイトへのログインについては、二要素認証を設定する。
利用者の位置情報を送信してしまう
2018年(平成30年)8月に、デンソーウェーブ公式のQRコードリーダーアプリ「公式QRコードリーダー“Q”」を使うと、特定の条件で、利用者の位置情報がQRコード作成者に送信される機能があることが明らかになり、ちょっとした騒動になりました。提供元のアララは、指摘を受けて位置情報の提供を終了しました。
同じアララが提供する「公式QR Codeメーカー」で、アクセス解析を有効とし、アクセス解析方式でシークレットを選択して作成した「アクセス解析機能付きQRコード」を公式QRコードリーダーで読み取ると、アクセスログCSVファイルに位置情報が含まれる形でQRコード作成者がダウンロードできる仕組みになっていました。
もちろん、公式QRコードリーダーの初回起動時に位置情報の取得について同意が求められ、これに同意しなければ位置情報が相手に伝わることはありません。しかし、アプリの説明が不十分であるとして、批判の声が相次いだのです。
この問題について、森井昌克氏(神戸大学大学院工学研究科教授)は、「視認による真贋判定の困難さ」を挙げています。
QRコードには、仕様外の隠しデータを埋め込むことが可能で、一般的なリーダーでは読むことはできません。
中国では、QRコードがキャッシュレス決済として普及しており、わが国でも注目していますが、こうしたQRコードそのものに潜む脆弱性を解決しないと、大規模なトラブルが発生する可能性があります。
同じアララが提供する「公式QR Codeメーカー」で、アクセス解析を有効とし、アクセス解析方式でシークレットを選択して作成した「アクセス解析機能付きQRコード」を公式QRコードリーダーで読み取ると、アクセスログCSVファイルに位置情報が含まれる形でQRコード作成者がダウンロードできる仕組みになっていました。
もちろん、公式QRコードリーダーの初回起動時に位置情報の取得について同意が求められ、これに同意しなければ位置情報が相手に伝わることはありません。しかし、アプリの説明が不十分であるとして、批判の声が相次いだのです。
この問題について、森井昌克氏(神戸大学大学院工学研究科教授)は、「視認による真贋判定の困難さ」を挙げています。
QRコードには、仕様外の隠しデータを埋め込むことが可能で、一般的なリーダーでは読むことはできません。
中国では、QRコードがキャッシュレス決済として普及しており、わが国でも注目していますが、こうしたQRコードそのものに潜む脆弱性を解決しないと、大規模なトラブルが発生する可能性があります。
参考サイト
- [「QRコードから不正サイト誘導、被害相次ぐ 「クイッシング」と呼ばれる手口も:産経新聞,2023年11月29日
- [「大学案内2024」掲載二次元コードの不正リンクについて:title=【重要】「大学案内2024」掲載二次元コードの不正リンクについて]:学習院大学
- [会員様DM掲載の2次元バーコードに関するお知らせ:オートバックスセブン
- 公式QRコードリーダー“Q”:アララ
- 公式QR Codeメーカー:アララ
- 「公式」QRコードリーダーを使うと読み取り時の位置情報がQRコード作成者に提供される:スラド,2018年08月11日
- QRコードを撮影するだけで個人情報が詐取される!?(森井昌克):Yahoo!ニュース,2018年8月28日
- QR コードへの隠しデータの埋め込み:福地健太郎
- PHPでQRコードをつくる:ぱふぅ家のホームページ
(この項おわり)
2023年(令和5年)下期は、悪意のあるサイトのURLが含まれているようなQRコードを使ったフィッシング詐欺「クイッシング」が急増しました。
対策を含め、これらQRコードの問題を紹介します。