• 事件・脆弱性情報
  • 2018.07.05

QRコードに脆弱性!?悪質なリンクに注意

スマートフォンで情報を読み取るのに便利な「QRコード」。
多くの読者様も、ウェブサイトへのアクセス用にURLをQRコードから読みとる経験をした方もいらっしゃるかと思います。

そのQRコードを神戸大学 森井昌克教授らのグループが検証した結果、一つのQRコードで一定の割合で別サイトに誘導できる事象が見つかりました。

今回の事象について

今回の事象の要点は主に下記2点です。

①一つのQRコードで正常なサイトにも悪質サイトにもつながる
②悪質なサイトへ遷移する割合が設定されている(約1000回に1回のみ悪質サイトへ誘導するなど)

上記2点を見て、最初から悪質サイトへ誘導するQRコードを配布されるほうが危険性が高いのではと思われる方も多いと思いますが、今回の事象はこの2点がとても恐ろしい点です。

最初から悪質サイトへ繋がるコードであれば、すぐにセキュリティに引っかかったり、気付く人が出てくるため広がる前に止められる可能性が高いです。

ただし、今回の事象では「一定の割合」でしか悪質サイトへ転送が行われないため気付きにくく、また脆弱性チェックなどをすり抜けてしまう恐れが高いのです。

また、『これは悪質なQRコードだ!』と思っても再度確認すると正常なサイトへ遷移するため、事象の確認もしづらいものとなっています。

対処法と今後のQRコードについて

現在この手法を利用した攻撃は確認されておらず、また明確な対処法もありません。
QRコードの仕組みのため、改善される可能性も少ないでしょう。
そもそもこの事象は、利用方法によっては脆弱性とは言い切れずポジティブな利用も可能です。
(ランダム制を持たせてアクセスさせるくじのような利用方法など)
そのため悪質サイトに行かないためには、利用者自身が注意を払う必要があります。

手間にはなりますが、QRコードでURLを読み込んだ際には目視でURLを確認し、あやしいURLではないかを確認する必要があるでしょう。
URLによっては判断が付きにくいものもあるかと思いますが、その場合は何度も同じQRコードを読み差異が無いかの確認するのも一つの手です。

もし利用されているアプリケーションなどで、QRコードを読み取った瞬間ウェブページへアクセスしてしまうものをご利用であれば、別の読み取り方法に変えることをお勧めします。

またQRコードを生成する側は、生成方法を見直す必要があります。
フリーのソフトなどが改ざんされていた場合、知らず知らずのうちに悪質サイトへの誘導に加担してしまうことになるので、信頼できる会社に依頼したり安全を確認できるサイトから作成するように心がけましょう。

QRコードは決済処理にも使われる時代になってきており、その勢いは加速していくと考えられます。
筆者も日々の生活での利用頻度が高いため、今なくなると不便に感じる状況が多々あります。
データが可視化されているものではない故に安心して使っている方も多いかと思いますが、インターネットに繋がる以上何かしらの脆弱性にさらされている可能性があることを改めて認識する必要があるでしょう。

 

参考サイト:
http://www.appps.jp/296557/
https://news.yahoo.co.jp/byline/moriimasakatsu/20180624-00086884/

※本記事は掲載時点の情報であり、最新の情報とは異なる場合があります。予めご了承ください。