【IT】ＱＲコードにセキュリティー上の弱点見つかる 不正サイトに誘導も

1 ：ガーディス ★：2018/06/24(日) 12:43:52.19 ID:CAP_USER9.net

電子決済や広告などに広く利用されている「ＱＲコード」に、偽の情報を仕込むことができるセキュリティ上の弱点があることが、神戸大学のグループの研究でわかりました。この弱点を悪用すると、利用者を一定の割合で不正なサイトに誘導することも可能で、グループではセキュリティー対策の強化が必要だとしています。

ＱＲコードは、インターネットのアドレスなどの情報を白と黒の四角い図形として表示し、スマートフォンなどで読み取るもので、電子決済や広告などに広く利用されています。

このＱＲコードのセキュリティについて、神戸大学の森井昌克教授らのグループが検証したところ、コードを作成する際に不正な操作を加えると、本来の情報に加えて、偽の情報を仕込むことができることがわかったということです。

これはコードを読み取る際のエラーを修復する機能を悪用したもので、こうして作られたＱＲコードを読み取ると、多くの場合は本来のサイトに誘導されますが、100人に１人といった一定の割合で、別のサイトなどに誘導することができるということです。

このため、金融機関などにつながると偽装したＱＲコードが表示されていた場合、本来のサイトに誘導されることもあるため、利用者が不正に気付きにくくなるおそれがあるということです。

こうした弱点を悪用した被害などは、まだ確認されていないということですが、森井教授は「ＱＲコードは急速に普及しているので、今後、狙われる危険性がある。ＱＲコードは一見しただけでは内容がわからないので、誘導された先が正しいかどうかチェックを強化する必要がある」と話しています。

決済などで利用広がる
ＱＲコードは、平成６年に日本の大手自動車部品メーカーが開発した技術で、情報を１枚の図形に盛り込んでスマートフォンなどで読み取ることができます。

読み取りが速く、記録できるデータ量も大きいため、広告や観光案内、それに電子チケットなどさまざまな場面で使われているほか、現金の代わりにＱＲコードを使った決済サービスも広がり始めています。

このうち、大阪・難波の商業施設では、ことし４月からほぼ全店のおよそ460店に、ＱＲコードで買い物ができるシステムを導入しました。

利用者は買い物をする際に、店側が表示したＱＲコードをスマートフォンで読み取ることで一瞬で決済することができ、代金は口座から直接、引き落とされます。

ＱＲコードを使った決済サービスは、中国など海外でも広がっていることから、外国からの観光客が利用することも多いということで、この商業施設では開始から２か月で、売り上げの４％をＱＲコードの決済が占めたいうことです。

買い物客は「サッと会計ができて、とても便利です。現金を出す機会がだいぶ減りました」と話していました。

南海電鉄・なんばＣＩＴＹ担当の黒田康介主任は「スマートフォンさえあれば、買い物ができるという点が非常に魅力で、海外の利用者も多い。セキュリティー対策を万全にしたうえで、今後も利用を広げていきたい」と話していました。
改ざん被害も
ＱＲコードの普及に伴って、ＱＲコードを改ざんしてインターネットの悪質なサイトに誘導したり、現金がだまし取られたりする被害も出ています。

神戸大学の研究グループなどによりますと、ＱＲコードは見ただけでは内容がわからないため、改ざんしたＱＲコードを読み取らせる手口が多いということです。

このうち、中国ではスーパーで商品ごとに掲示された支払い用のＱＲコードを、客がスマートフォンで読み取って決済するサービスが普及しているということで、改ざんしたＱＲコードを正しいコードの上から貼り付ける手口で、代金をだまし取られる被害も相次いでいるということです。

また、国内でもインターネットに掲載したＱＲコードで、悪質なサイトに誘導して、個人情報などをだまし取ろうとする手口が確認されているということです。

http://www3.nhk.or.jp/news/html/20180623/k10011492631000.html

185 ：名無しさん＠１周年：2018/06/24(日) 17:12:29.15 ID:Xfj2R3VB0.net

>>184
そんな掠れて読めないなら商品そのものが不良とすべき
間違った値を読まれるよりマシ

186 ：名無しさん＠１周年：2018/06/24(日) 17:14:31.22 ID:sR7f52vT0.net

これは、かなりヤバイな。
こうやって公開すると、弱点を探し出して使う奴がでてきそうで、逆に怖いわ。

187 ：名無しさん＠１周年：2018/06/24(日) 17:18:45.50 ID:Z//MD9K+0.net

>>185
QRコードは多少の汚れなどに強いのが売りなの
そして普通はダメだった時は読み込めなかったデータは捨てるから間違ったデータが出てくることは無い。
そこのスキをつく方法があったから弱点見つかったという記事になったわけだ。
最初からわかっていれば内容にチェックデジットをいれて解決。
誤り訂正に強すぎたのが仇になったんだと思う。

188 ： ：2018/06/24(日) 17:19:14.20 ID:svwuliFH0.net

>>183
そうそれ、試しに他のドットも変えてみればいい
これはグレーのところを誤読して欲しいってのが見え見え

189 ：名無しさん＠１周年：2018/06/24(日) 17:20:02.58 ID:E8UZNJCS0.net

>>3
分かってないのはお前だ

190 ： ：2018/06/24(日) 17:20:22.96 ID:svwuliFH0.net

>>187
いや、お前分かってないよ
汚れに強いってのはグレーだの白黒だのという話でなくて、
誤り訂正符合が強力なだけだ

191 ：名無しさん＠１周年：2018/06/24(日) 17:29:28.55 ID:Z//MD9K+0.net

>>190
誤り訂正に強いよ
そしてサンプルでは灰色だけど欠けや汚点で灰色と同じことができる。
QRコードの誤り訂正の売りを考えても閾値でこの問題を抑えるのは無理と言う話だ。

192 ： ：2018/06/24(日) 17:30:35.50 ID:2Xg2VnVC0.net

フリーサイトで作ったとして、適当なドットを１つか２つ反転させてみて読み込ませればすぐに分かる
まともなQRならそれでも意図した動作になるが、このやり方だと飛びたいサイトでもフィッシングサイトでもない所に飛ぶはず

193 ： ：2018/06/24(日) 17:31:16.69 ID:2Xg2VnVC0.net

>>191
いや、誤り訂正の定義分かってる？

194 ：名無しさん＠１周年：2018/06/24(日) 17:31:58.31 ID:Xfj2R3VB0.net

>>187
閾値の話かエラー訂正の話か明記してくれない？

195 ：名無しさん＠１周年：2018/06/24(日) 17:33:31.01 ID:1kOxs9hc0.net

リーダーの方で、99.x％はサイトA、0.0Y％はサイトBっていう風に、列挙して読み取れないのだろうか‥ >>35 開発者の物言いだと、それが出来ないような感じだけど‥

196 ： ：2018/06/24(日) 17:36:11.53 ID:2Xg2VnVC0.net

>>195
できるよ、圧倒的多数が404になる

197 ：名無しさん＠１周年：2018/06/24(日) 17:37:04.80 ID:1kOxs9hc0.net

>>196 なんだ、ならいたちごっこの１ページだね

198 ：名無しさん＠１周年：2018/06/24(日) 17:38:03.84 ID:yxhVU8jD0.net

>>188
わかりやすくしてくれたんだろうけど。
色も黒白以外なら気にもとめないだろうし。誤認できる割合も調整できるのであれば
信用できる企業、サイトのＱＲコード以外はゴミってなってしまうかんじ。
　ハッキングで画像すりかえられたら、それはそれで対応できないし。

ＱＲコードはウェブサイトのリンク用途としては使えないって話なのかもしれないな。
　ほかの用途でがんばればいいとおもうｗ

199 ：名無しさん＠１周年：2018/06/24(日) 17:39:50.48 ID:W/ch7l4O0.net

バーコードは優秀なんだな
頭がバーコードって表現するくらい普及してるし

200 ： ：2018/06/24(日) 17:40:47.18 ID:cD4axRfZ0.net

>>198
それに近い、メールでURLむやみに踏まないのと同じように、
QRコードも気をつけましょう、位の話

これはアピールが上手い

201 ：名無しさん＠１周年：2018/06/24(日) 17:44:08.11 ID:ybpKzaUy0.net

QRコードを使う層

202 ：名無しさん＠１周年：2018/06/24(日) 18:16:24.69 ID:bw7xndxx0.net

情報をコードに転換してるだけなのに
なにが弱点だよ？

203 ：名無しさん＠１周年：2018/06/24(日) 18:18:20.55 ID:6kcwsd6j0.net

>>198
QRコードと一緒にURLも書いておいて読み込んだアドレスが正しいか確認するようなやり方しかないと思う

204 ：名無しさん＠１周年：2018/06/24(日) 18:30:15.48 ID:1kOxs9hc0.net

>>203 よくゲーム機なんかである（気がする）カメラの画面に写った直接URL文字列読み取るのよりも良い事あるんだろうか‥

205 ：名無しさん＠１周年：2018/06/24(日) 18:44:58.30 ID:6TEboDY40.net

QRコードの仕様上ちょっと面白いことも出来る、

が「QRコードシステムおわた！オワタヨー！」

に見えちゃう可哀想な子が結構いるな

206 ：名無しさん＠１周年：2018/06/24(日) 18:49:48.27 ID:/g97KYYf0.net

>コードを生成する際に不正な操作を加えると



この時点でなぁ

207 ：名無しさん＠１周年：2018/06/24(日) 18:51:57.10 ID:ddOYL4zA0.net

やっぱり、現金が最強。

208 ：名無しさん＠１周年：2018/06/24(日) 19:27:31.82 ID:vQ6eHJOl0.net

そらそうよ
現金ダサいなんて言ってるの聞くとチェーン店しか行ってない田舎モンだなとすぐわかるわ

209 ：名無しさん＠１周年：2018/06/24(日) 19:45:46.46 ID:SU2S9SDx0.net

だろうと思った。商品の値段も１０００倍にされてても年寄りはきずかないだろうしさ

210 ：名無しさん＠１周年：2018/06/24(日) 19:46:54.57 ID:x5USp99c0.net

こういう場合はデンソーが修正するんだろうか？

211 ：名無しさん＠１周年：2018/06/24(日) 20:06:47.93 ID:pvSwxD110.net

>>207
中国のATMは偽札を吐き出すから、と普及したのがQRコード決算なんだよ
要は中国人が運用したら全て糞になる

212 ：名無しさん＠１周年：2018/06/24(日) 20:22:03.67 ID:CVg88lJd0.net

＞ＱＲコードは、平成６年に日本の大手自動車部品メーカーが開発した技術

忖度してんじゃねーぞはっきり社名出せやクソが

213 ：名無しさん＠１周年：2018/06/24(日) 20:30:52.03 ID:UxG75ZJe0.net

>>55
ほんとだ
いろいろアプリ入れて見たら全部そうなった
ただiPhone純正カメラアプリだと
30回くらいやってもlobにならなかった
https://i.imgur.com/rjm3DjR.jpg
https://i.imgur.com/9ILUxgB.jpg
https://i.imgur.com/ezl3e6I.jpg
https://i.imgur.com/MVMWCVj.jpg

214 ：名無しさん＠１周年：2018/06/24(日) 20:50:14.85 ID:Z/5WYLEF0.net

>>9
Gコードはアナログ放送時代には有効だったがデジタル放送は番組だけでなく番組情報(番組表)も含まれているため必要なくなった

215 ：名無しさん＠１周年：2018/06/24(日) 20:53:17.32 ID:Z/5WYLEF0.net

>>16
ガラケーはQRコードをURLにしか使わせなかったけどスマホになって汎用性が上がり
URLでもただのテキストデータでもなんでも送受信可能になったから使用状況は増えた

216 ：名無しさん＠１周年：2018/06/24(日) 21:07:42.51 ID:44brtz6Z0.net

>>215
んなことねーよ
ガラケーの頃から住所やら一括でQR化して名刺に載せてたわ

217 ：名無しさん＠１周年：2018/06/24(日) 21:10:31.66 ID:Z/5WYLEF0.net

>>216
ガラケーはQRの読み取りが機種依存
URL以外を不正とする機種は普通にあった

218 ：名無しさん＠１周年：2018/06/24(日) 21:15:12.54 ID:V2n0dT640.net

初期型iPadで読めるのが前提で作ってた頃のを見るとでかくてビビる

219 ：名無しさん＠１周年：2018/06/24(日) 21:16:14.60 ID:qqTKsAfe0.net

冗長符号の長さが足りないだけ。
ちゃんと設定すればこんな問題起きない。

220 ：名無しさん＠１周年：2018/06/24(日) 21:25:27.91 ID:0Z5JHYYK0.net

なんかプリキュア

221 ：名無しさん＠１周年：2018/06/24(日) 21:43:52.99 ID:zF646s7p0.net

ワシもQRコード安全神話分からん
コード自体一見読み取れ無いだけでスマホで読み取れば
具体的な文字列が見える訳でハッキングし易いと思う

222 ：名無しさん＠１周年：2018/06/24(日) 21:49:08.78 ID:Hd17f/DZ0.net

これからは目視でQRコードを読めるスキルが必要になってくるな

223 ：名無しさん＠１周年：2018/06/24(日) 21:50:36.81 ID:1kOxs9hc0.net

>>222 答えはたいてい添え書きしてあるからなぁ

224 ：名無しさん＠１周年：2018/06/24(日) 22:48:59.53 ID:mhFgH0f60.net

>>3
恥ずかしくてID真っ赤になってるな

225 ：名無しさん＠１周年：2018/06/24(日) 23:30:54.66 ID:4ynLEj7E0.net

>>224
IDが真っ赤？

226 ：名無しさん＠１周年：2018/06/25(月) 00:49:09.26 ID:mSfYt1Ax0.net

>>224
お前ももうすぐ赤く染まる

227 ：名無しさん＠１周年：2018/06/25(月) 06:56:37.49 ID:r74H34xL0.net

>>75
デンソー純正だと、問答無用でブラウザ開くんだよな

228 ：名無しさん＠１周年：2018/06/25(月) 07:00:03.07 ID:jkT5kDi30.net

>>219
たぶんその逆ではないかと。冗長性を利用してるんじゃないかな。

＞QRコードはコードが汚れていたり、破損していても、コード自身でデータを復元する機能を持っています。
「誤り訂正能力」は4段階用意されており、ユーザが使用環境に合わせてレベルを選択する事ができます。
このレベルを上げれば、誤り訂正能力は向上しますが、データが増えるため、コードのサイズは大きくなります。
どのレベルを選択するかは、ご使用になる環境、コードサイズ等で総合的に考慮して判断します。工場などの
汚れやすい環境ではレベルQやHを選択し、それほど汚れない環境でデータ量が多い場合などは、レベルL
を選択する事もあります。一般的にはM(15%)で運用されるケースが多いようです。

229 ：名無しさん＠１周年：2018/06/25(月) 08:03:37.39 ID:57rimkkL0.net

QRコード取り替えるやつは中国で流行ってたな

230 ：名無しさん＠１周年：2018/06/25(月) 11:06:56.84 ID:7lOnxjtw0.net

QRコードに埋め込めるのはべつにURLだけじゃないんだから、それをURLかどうか判断するのはアプリ側なわけ。
つまり、そのURLが不正なものかどうかの判断もアプリ側で可能。
そのためのロジックだけ確立して公開すれば良い。

231 ：名無しさん＠１周年：2018/06/25(月) 11:12:44.15 ID:/lIVlmvC0.net

みんないろいろ考えるなあ

232 ：名無しさん＠１周年：2018/06/25(月) 11:29:11.14 ID:9meqQJPI0.net

一マス黒い■を書き足す落書きをするとか？

233 ：名無しさん＠１周年：2018/06/25(月) 11:33:18.36 ID:Xr21mF3A0.net

大体無料の怪しげなQRコード読み取りアプリとか使ってる時点ですでに詰んでるのに今更ｗ

234 ：名無しさん＠１周年：2018/06/25(月) 11:36:41.23 ID:OViHlD410.net

>>40
今の生産現場はQRだらけだぞ。
元々はデンソーが工業用に作った規格。

便利だから他用途にも派生しただけ。
八木アンテナとは根本から違う。
ちなみにそういう自国では省みられず、他国(敵国)で評価されちゃった技術は欧米でもあった。