【メルマガ】「QRコード」というセキュリティホール(2021年11月09日)

QRコード。

PayPayといった決済の市民権も得て、QRコード自体も爆発的に普及していますね。

スマホカメラで読み取って、瞬時に指定された機能にアクセス。
手軽で便利ですが、気をつけないといけない点もあります。

QRコードの危険な点

一言で言うと「何が書いてあるのか分からない」という点です。

ホームページにアクセスするのだろうな、というQRコードが町中の至る所にありますが、本当にそうなのでしょうか?
LINEのお友達登録かも?決済用かも?

QRコードの読み取りは、Webサイトへのアクセス、通話の開始、連絡先の追加、現在地の共有、など、様々なことが可能です。
フィッシングサイトへの誘導、マルウェアのダウンロードなど、悪意を持った使い方も可能です。

危ない事例2つ

先日、ネットで購入してプリントアウトして使うタイプのチケットに、QRコードがありました。
利用用途は「入場時にさっと確認する」ためのものと考えられますが、QRコードを読み取ったところ、電話をかける動作につながりました。
(おそらく、チケットのコードが電話番号の体系と同じだったため、iPhone側が電話番号と判断したものと思われます。)

このケースにおいては、そのまま電話をかけたとしても、誰か知らないところにかかるだけでしょうけど、危ない話ですね。

また、過去、中国で流行した詐欺があります。
「正規の決済用QRコードの上に、自分の口座に振り込む用のQRコードを貼り付け、そちらに送金させる」という手口です。

日本のレジでもQRコードなどの提示が多くありますが、気をつける必要がありますね。

どうすればよい?

利用者としては「身元が怪しいQRコードは読み込まない」「読み込んだ後の接続内容をよく確認してから実行する」といった予防策しかないと考えられます。

QRコードを提示する側としては、「QRコードが何を意味するのかを、QRコードの周辺に記載しておく」「アクセス先として短縮URLを使わない(本来のURLが分からないため)」「むやみにQRコードを使わない」といったことがマナーになるでしょう。

便利な技術は、次のセキュリティホールを生みます。

認識しつつ、便利さは享受していきましょう。

バックナンバーを見る

>情報システムの

情報システムの"教科書"本を発売中!


■ 情シス、システムコンサルタント、システムエンジニアの方へ
情シスの定石(技術評論社)

■ システムエンジニア、情シスの方へ
2023年10月7日(土)発売
システム設計の教科書(技術評論社)

CTR IMG

■ 著者 石黒直樹による書籍説明動画