国内最大級のエンタメブログ。ゲーム・アニメ・漫画・時事ネタなど、たくさんのネタを面白おかしく紹介します。


はちま起稿

  • 3日ランキング
  • 1週間ランキング
  • 月間ランキング


QRコードにセキュリティー上の弱点 不正サイトに誘導も
https://www3.nhk.or.jp/news/html/20180623/k10011492631000.html
名称未設定 2


記事によると
・電子決済や広告などに広く利用されている「QRコード」に、偽の情報を仕込むことができるセキュリティ上の弱点があることがわかった

・コードを読み取る際のエラーを修復する機能を悪用したもので、こうして作られたQRコードを読み取ると、多くの場合は本来のサイトに誘導されるが、100人に1人といった一定の割合で別のサイトなどに誘導することができるという

・金融機関などにつながると偽装したQRコードが表示されていた場合、本来のサイトに誘導されることもあるため、利用者が不正に気付きにくくなるおそれがあるという

・こうした弱点を悪用した被害などはまだ確認されていないというが、今後、狙われる危険性があるあるため、誘導された先が正しいかどうかチェックを強化する必要がある。




名称未設定 3


この記事への反応



これは怖い。悪用が増えるとQRコード自体の信頼性が揺らぐ。脆弱性対策をしようにも、QRコードリーダーはいろいろなところが作っているのですぐには難しいのかも。

うううむ,これは面白いけど「セキュリティー上の弱点」というほどクリティカルなものだろうかどうだろうか。ある QR コードに手を加えて,「任意の」偽の情報をつくれるまでは行ってないよね多分。

QRコードのエラー訂正機能を使ってだろうが、具体的にどんな改竄が可能なんだろうか? URL自動生成コード系に金融機関系ドメインをフィッシング用に書き換える機能が仕込まれていたとかでもなし

あー、完全な誤情報じゃないから発覚しにくいてトコがミソなのかな?

100回に1回くらい偽情報に引っかかるというアナログ感が興味深いなぁ

読み取り側で対策できそうな気もするけど、どうなんだろ。

これって対策出来る前に手口バラしちゃってるよね(汗)?いいの(汗)?











エラー修復機能なんであるのか・・・
実際悪用したケースが出てくるのか不明だけど、読み取ったあとは一応URLを確認しておこう








オクトパストラベラー - Switch
オクトパストラベラー - Switch
posted with amazlet at 18.06.23
スクウェア・エニックス (2018-07-13)
売り上げランキング: 11
Amazon.co.jpで詳細を見る



コメント(63件)

1.はちまき名無しさん投稿日:2018年06月23日 22:32▼返信
スマホでQRコードどうやって読み取る?
2.はちまき名無しさん投稿日:2018年06月23日 22:32▼返信
QR決済厨はウンコ
3.はちまき名無しさん投稿日:2018年06月23日 22:33▼返信
きゅうあーるであーる!
4.はちまき名無しさん投稿日:2018年06月23日 22:34▼返信
>>1
アプリがあるじゃん。
5.はちまき名無しさん投稿日:2018年06月23日 22:35▼返信
表示されるURLで確認もできるだろうけど、それも偽造できるってこと?
よくわからんな
6.はちまき名無しさん投稿日:2018年06月23日 22:37▼返信
仮想通貨がオワコンになるやんけ
7.はちまき名無しさん投稿日:2018年06月23日 22:37▼返信
知ってる
8.はちまき名無しさん投稿日:2018年06月23日 22:38▼返信
1箇所灰色があるな
9.はちまき名無しさん投稿日:2018年06月23日 22:38▼返信
>中国ではスーパーで商品ごとに掲示された支払い用のQRコードを、客がスマートフォンで読み取って決済するサービスが普及しているということで、改ざんしたQRコードを正しいコードの上から貼り付ける手口で、代金をだまし取られる被害も相次いでいるということです。
>また、国内でもインターネットに掲載したQRコードで、悪質なサイトに誘導して、個人情報などをだまし取ろうとする手口が確認されているということです。

あらあら
10.はちまき名無しさん投稿日:2018年06月23日 22:38▼返信
偽のやつどこが違うかなかなか分からなかったけど一か所グレーになってるんだな
11.はちまき名無しさん投稿日:2018年06月23日 22:39▼返信
amazonの支払いいつもこれでローソン読み取りなんだが
12.はちまき名無しさん投稿日:2018年06月23日 22:39▼返信
まぁ便利ではあるけどいろいろ危ないよね 公式でも訂正で上からシール貼り直してたりするけど、悪質な使い方できる。
13.はちまき名無しさん投稿日:2018年06月23日 22:41▼返信
>>11
別にローソンの店員程度が偽のQRを用意できるほどの技術なんてないから安心しろ。
そんな事出来るんならIT系に務めるだろ
14.はちまき名無しさん投稿日:2018年06月23日 22:41▼返信
>>11
amazonみたいな信頼できる大手サイトであれば大丈夫だろ
QRコード自体に悪意ある加工がされている可能性があるってことだから
15.はちまき名無しさん投稿日:2018年06月23日 22:43▼返信
いやーもうこれどうしようもないだろ
QRコードが書き換えられても短縮URLのように人間は読めないんだし
アナログなことは個人が注意しなければならない
16.はちまき名無しさん投稿日:2018年06月23日 22:44▼返信
2値化しきい値ギリギリの色で一部を加工する事でゆらぎを作るのか
17.はちまき名無しさん投稿日:2018年06月23日 22:44▼返信
こういう大多数に問題が広がるのを、対策方法なく広める必要ってなんなんだろうな
それで問題が起きてニュースにできればそれでいいって考えなのかな
18.はちまき名無しさん投稿日:2018年06月23日 22:45▼返信
それあなたの感想ですよね?
なんかデータとかあるんですか?
19.はちまき名無しさん投稿日:2018年06月23日 22:45▼返信
100人に1人って辺りが中々面白いな
ある人が日本ヒドイとTwitterで訴えるネタになる!!と頑張って大騒ぎしようとしても
リンク踏んでみたけど何もなかったぞと嘘松認定されちゃいそう
20.はちまき名無しさん投稿日:2018年06月23日 22:46▼返信
中国のアリペイ支払いがまさにバーコードやQRコードだからなあ
あぶないっちゃああぶないよ
21.はちまき名無しさん投稿日:2018年06月23日 22:46▼返信
つまりは読み取りエラー発生時に読み取りプログラムがデータ補完すると
別サイトにつながるように細工できるよって話だろ
提供元が不明なQRは読み込むなってことだ
22.はちまき名無しさん投稿日:2018年06月23日 22:48▼返信
DENSOさん、早く対策しましょう
23.はちまき名無しさん投稿日:2018年06月23日 22:50▼返信
黒で描かれたQRに誘導したいQRをグレーで上書きし
エラー補正で誘導先を読ませているのか
こりゃ高確率で引っ掛かる機種があるかもな
24.はちまき名無しさん投稿日:2018年06月23日 22:53▼返信
ホップアップQR
25.はちまき名無しさん投稿日:2018年06月23日 22:59▼返信
撮影時の光の反射ぐあいでもかわるし、むすがしいだろうな
26.はちまき名無しさん投稿日:2018年06月23日 23:00▼返信
alipay死ぬのでは
27.はちまき名無しさん投稿日:2018年06月23日 23:05▼返信
脆弱性もなにもQRコードにセキュリティなんてないわ
28.はちまき名無しさん投稿日:2018年06月23日 23:06▼返信
QRコードって一部隠しても読み取れるから間違って読み取ることはないのかなとは思ってた
29.はちまき名無しさん投稿日:2018年06月23日 23:07▼返信
自動で複数回読み取りして違うデータが検出されたらユーザーが任意に選択できるシステムにしたらええんちゃう?
30.はちまき名無しさん投稿日:2018年06月23日 23:11▼返信
100分の1って確率高すぎでしょw
31.はちまき名無しさん投稿日:2018年06月23日 23:11▼返信
まぁ使用料無料なんだしさ
デンソーウェーブも文句言われて大変だ
32.はちまき名無しさん投稿日:2018年06月23日 23:13▼返信
>・これって対策出来る前に手口バラしちゃってるよね(汗)?いいの(汗)?
それが本国からのオーダーです!byアカヒ・アカのイヌエイチケー
33.はちまき名無しさん投稿日:2018年06月23日 23:15▼返信
灰色のドットがプラスされてるのな
この灰色を白と判断するか黒と判断するかでURLが変わるって話だろう
34.はちまき名無しさん投稿日:2018年06月23日 23:17▼返信
ぶれると間違うから前からやばいだろうなと思ってた
35.はちまき名無しさん投稿日:2018年06月23日 23:21▼返信
エラー訂正機能がないと符号として役立たずなんですが
36.はちまき名無しさん投稿日:2018年06月23日 23:22▼返信
中国とかこれで支払ってんだろ
やべえじゃんソニー
37.はちまき名無しさん投稿日:2018年06月23日 23:29▼返信
>>13
改ざんしたQRコードを生成するWebページやスマホアプリとか出来るだろうよ
38.はちまき名無しさん投稿日:2018年06月23日 23:30▼返信
>>36
QRコード作ったの、デンソー(トヨタ関連会社)だけどw
39.はちまき名無しさん投稿日:2018年06月23日 23:35▼返信
震えて眠れ
40.はちまき名無しさん投稿日:2018年06月23日 23:36▼返信
あの頃、僕らの青春は
ゲームと共にあった

『ハイスコアガール』

7月TVアニメ放送開始!
41.はちまき名無しさん投稿日:2018年06月23日 23:37▼返信
これは脆弱性と呼んでいいの?
「似たようなアドレスにアクセスすると偽サイトにジャンプする!URLには脆弱性がある!!」
って言ってるようなもんじゃないの
42.はちまき名無しさん投稿日:2018年06月23日 23:42▼返信
中国では上から偽物のシール貼られて被害出てるな
43.はちまき名無しさん投稿日:2018年06月23日 23:42▼返信
シナ人よく使ってるよねww
お察しだわ
44.はちまき名無しさん投稿日:2018年06月23日 23:43▼返信
>>41
キーボードでURL入力するときに稀に意図した打鍵とは違う入力がされて別のサイトに飛ばされるキーボードの脆弱性がある
ぐらいの話で
URLの脆弱性じゃねーな
45.はちまき名無しさん投稿日:2018年06月24日 00:00▼返信
今のQRって読み取る時の精度が甘め(簡単に読み取るように)に設定されてるからそれをもっと厳密にすれば解決しそう
多少読み取りづらくはなるだろうけど
46.はちまき名無しさん投稿日:2018年06月24日 00:02▼返信
海外の二次元コードに変えればいいんじゃ内かな
47.はちまき名無しさん投稿日:2018年06月24日 00:33▼返信
ランダム系のフィッシングはかなり悪質だな
QRコードに関してはそもそも使用する事ほぼないから問題ではないが…
48.はちまき名無しさん投稿日:2018年06月24日 00:37▼返信
いや、100分の1でも危険性があったら、使わせたらあかんやろ
49.はちまき名無しさん投稿日:2018年06月24日 00:45▼返信
QRはセキュリティーホールだらけな今更気が付いたかw
50.はちまき名無しさん投稿日:2018年06月24日 01:21▼返信
これテキストで書いてあっても同じことだからなあ。脆弱性って言えるのかな?
51.はちまき名無しさん投稿日:2018年06月24日 01:50▼返信
正に中国で流行りそうだなw
52.はちまき名無しさん投稿日:2018年06月24日 02:01▼返信
脆弱性も何も仕様じゃねーかw

URL直書きだとしてもそれっぽいドメインならアクセスするだろ
53.はちまき名無しさん投稿日:2018年06月24日 02:59▼返信
昔のガラケなら画質低くて補正必要かもしれないけど 今どきの画素数のカメラで補正はいらないかもな
54.はちまき名無しさん投稿日:2018年06月24日 03:47▼返信
エラー修復というよりは50%グレーの点を読みやすくする為の
一部アプリにある画像の高コントラスト化やモノクロ化の機能が
逆に邪魔をするように出来ているのか
アプリ側の親切が仇になるとは上手いことを考える
55.はちまき名無しさん投稿日:2018年06月24日 06:09▼返信
エラー訂正の仕組みを悪用したんだろうな
まあ読み取りアプリ側の修正で対処できる範囲だ
56.はちまき名無しさん投稿日:2018年06月24日 06:15▼返信
アクセスするURLの確認画面出るしむしろ引っ掛かる奴の頭の脆弱性なんじゃねえかな
57.はちまき名無しさん投稿日:2018年06月24日 06:30▼返信
アドレスが似た詐欺URLに気をつけろっていうのと同じでしょ
QRコードの脆弱性とは言わないと思う
QRコードで決済とかしてる大陸の人には重要なことかも知れんが
58.はちまき名無しさん投稿日:2018年06月24日 08:59▼返信
信用できるQRコードの生成ソフトを使えば防げると思う
エラー訂正機能なら狙ったアドレスに誘導するのは簡単ではなさそう
59.はちまき名無しさん投稿日:2018年06月24日 10:55▼返信
何が違うのかと思ったら灰色の部分があるのか
60.はちまき名無しさん投稿日:2018年06月24日 11:54▼返信
あれ、でもQRコード読み込んだあと
このURLに飛びますかって、
URLリンク出てくるから
本人が気をつければいい気がする。
61.はちまき名無しさん投稿日:2018年06月24日 13:28▼返信
>>60
それに気づいてまた確認でQR読み込んだら正規のとこに飛ぶと
こういうの考えるやつほんと天才やわ
62.はちまき名無しさん投稿日:2018年06月25日 02:27▼返信
目でチェックしても見のがすよ。labとlobなんて最初わからんかった。
これ、ソフトウェア側の対策としては、例えば5回読み込んで1回でも結果が違ったら警告を出すとかかな。
そして掲載側はさらに厳しく、専用のソフトで濃淡チェックするとか。
63.はちまき名無しさん投稿日:2018年06月25日 11:13▼返信
100人に一人って数えてるわけじゃなくて
グレーの部分を意図的に仕込んで
カメラ側の判断で黒か白かの判断次第でURL変わるってだけだろ?

直近のコメント数ランキング

traq