【メルマガ】「QRコード」というセキュリティホール(2021年11月09日)

QRコード。

PayPayといった決済の市民権も得て、QRコード自体も爆発的に普及していますね。

スマホカメラで読み取って、瞬時に指定された機能にアクセス。
手軽で便利ですが、気をつけないといけない点もあります。

QRコードの危険な点

一言で言うと「何が書いてあるのか分からない」という点です。

ホームページにアクセスするのだろうな、というQRコードが町中の至る所にありますが、本当にそうなのでしょうか?
LINEのお友達登録かも?決済用かも?

QRコードの読み取りは、Webサイトへのアクセス、通話の開始、連絡先の追加、現在地の共有、など、様々なことが可能です。
フィッシングサイトへの誘導、マルウェアのダウンロードなど、悪意を持った使い方も可能です。

危ない事例2つ

先日、ネットで購入してプリントアウトして使うタイプのチケットに、QRコードがありました。
利用用途は「入場時にさっと確認する」ためのものと考えられますが、QRコードを読み取ったところ、電話をかける動作につながりました。
(おそらく、チケットのコードが電話番号の体系と同じだったため、iPhone側が電話番号と判断したものと思われます。)

このケースにおいては、そのまま電話をかけたとしても、誰か知らないところにかかるだけでしょうけど、危ない話ですね。

また、過去、中国で流行した詐欺があります。
「正規の決済用QRコードの上に、自分の口座に振り込む用のQRコードを貼り付け、そちらに送金させる」という手口です。

日本のレジでもQRコードなどの提示が多くありますが、気をつける必要がありますね。

どうすればよい?

利用者としては「身元が怪しいQRコードは読み込まない」「読み込んだ後の接続内容をよく確認してから実行する」といった予防策しかないと考えられます。

QRコードを提示する側としては、「QRコードが何を意味するのかを、QRコードの周辺に記載しておく」「アクセス先として短縮URLを使わない(本来のURLが分からないため)」「むやみにQRコードを使わない」といったことがマナーになるでしょう。

便利な技術は、次のセキュリティホールを生みます。

認識しつつ、便利さは享受していきましょう。

バックナンバーを見る

>【発売中】情シスの定石(技術評論社)

【発売中】情シスの定石(技術評論社)


情報システム部門の担当者が「絶対に」押さえるべきノウハウを体系化!

・システムの企画から廃止まで、情シスが「何をすべきか」「どう動くべきか」がわかる
・失敗につながる「見えない要因」を明らかにし、成功に導くためのポイントを解説
・情報システム開発に携わるすべての人の必読書

■ こんな方にオススメ
現役「情シス」/ 異動で「情シス」へ / 転職で「情シス」へ
部下・新人育成にお悩みの方 / 業務部門の方
経営者 / 開発ベンダ勤務の方 / 就活生

CTR IMG