QRコードと個人情報

(1/1)
QRコード
2018年(平成30年)8月に、デンソーウェーブ公式のQRコードリーダーアプリなどが、特定の条件で、利用者の位置情報をQRコード作成者に送信する機能の存在が明らかになり、ちょっとした騒動になりました。
2023年(令和5年)下期は、悪意のあるサイトのURLが含まれているようなQRコードを使ったフィッシング詐欺「クイッシング」が急増しました。
対策を含め、これらQRコードの問題を紹介します。

目次

QRコードから不正サイトに誘導するクイッシング

2023年(令和5年)10月30日に、学習院大学は「大学案内2024」に掲載されていた「受験生応援サイトintro!」のQRコードが、不正なリンク先に転送されていることが判明したと発表しました
2023年(令和5年)11月13日には、オートバックスセブンが、会員向けのダイレクトメールで、会員制度のリニューアルのホームページを案内するQRコードから、予定していない広告サイトへジャンプするケースがあったことを発表しました
正常に読み取れるが、悪意のあるサイトのURLが含まれているようなQRコードを使ったフィッシング詐欺を「クイッシング」(Quishing)と呼び、セキュリティ企業のチェック・ポイントによると、2023年(令和5年)8月から9月にかけて587%増加していると警告を発しています。

肉眼でQRコードにどのようなURLが埋め込まれているか見ることができず、また、PayPayやLINE PayなどQRコードによる電子決済が普及していることから、無防備にQRコードからリンク先にアクセスする機会が増えたと考えられます。

さらに、2023年(令和5年)10月23日に東海大学の研究チームが発表した「不可視光レーザ照射を利用した偽装QRコードの長距離化への挑戦」によると、100メートル離れた場所からQRコードに目に見えないレーザー光を照射し、QRコードを上書きし、悪意のあるサイトのURLを埋め込むことが可能だといいます。こうなると、街中や店舗に掲示されているQRコードにもリスクが潜んでいます。

下記のような対策が有効です。
  1. 街中に掲示されていたり、メールなどで送られてきたQRコードのリンク先に不用意にアクセスしない。アクセスする前に掲示者、送信者を確認する。
  2. PCやスマホにセキュリティ対策ソフトを導入し、最新状態に保つ。悪意のあるサイトだという警告を表示したら、すぐに脱出する。
  3. 通販やネットバンキングなど、重要なサイトへのログインについては、二要素認証を設定する。

利用者の位置情報を送信してしまう

2018年(平成30年)8月に、デンソーウェーブ公式のQRコードリーダーアプリ「公式QRコードリーダー“Q”」を使うと、特定の条件で、利用者の位置情報がQRコード作成者に送信される機能があることが明らかになり、ちょっとした騒動になりました。提供元のアララは、指摘を受けて位置情報の提供を終了しました。
同じアララが提供する「公式QR Codeメーカー」で、アクセス解析を有効とし、アクセス解析方式でシークレットを選択して作成した「アクセス解析機能付きQRコード」を公式QRコードリーダーで読み取ると、アクセスログCSVファイルに位置情報が含まれる形でQRコード作成者がダウンロードできる仕組みになっていました。
もちろん、公式QRコードリーダーの初回起動時に位置情報の取得について同意が求められ、これに同意しなければ位置情報が相手に伝わることはありません。しかし、アプリの説明が不十分であるとして、批判の声が相次いだのです。

この問題について、森井昌克氏(神戸大学大学院工学研究科教授)は、「視認による真贋判定の困難さ」を挙げています。
QRコードには、仕様外の隠しデータを埋め込むことが可能で、一般的なリーダーでは読むことはできません。

中国では、QRコードがキャッシュレス決済として普及しており、わが国でも注目していますが、こうしたQRコードそのものに潜む脆弱性を解決しないと、大規模なトラブルが発生する可能性があります。

参考サイト

(この項おわり)
header