■ このスレッドは過去ログ倉庫に格納されています
【IT】QRコードにセキュリティー上の弱点見つかる 不正サイトに誘導も
- 1 :ガーディス ★:2018/06/24(日) 12:43:52.19 ID:CAP_USER9.net
- 電子決済や広告などに広く利用されている「QRコード」に、偽の情報を仕込むことができるセキュリティ上の弱点があることが、神戸大学のグループの研究でわかりました。この弱点を悪用すると、利用者を一定の割合で不正なサイトに誘導することも可能で、グループではセキュリティー対策の強化が必要だとしています。
QRコードは、インターネットのアドレスなどの情報を白と黒の四角い図形として表示し、スマートフォンなどで読み取るもので、電子決済や広告などに広く利用されています。
このQRコードのセキュリティについて、神戸大学の森井昌克教授らのグループが検証したところ、コードを作成する際に不正な操作を加えると、本来の情報に加えて、偽の情報を仕込むことができることがわかったということです。
これはコードを読み取る際のエラーを修復する機能を悪用したもので、こうして作られたQRコードを読み取ると、多くの場合は本来のサイトに誘導されますが、100人に1人といった一定の割合で、別のサイトなどに誘導することができるということです。
このため、金融機関などにつながると偽装したQRコードが表示されていた場合、本来のサイトに誘導されることもあるため、利用者が不正に気付きにくくなるおそれがあるということです。
こうした弱点を悪用した被害などは、まだ確認されていないということですが、森井教授は「QRコードは急速に普及しているので、今後、狙われる危険性がある。QRコードは一見しただけでは内容がわからないので、誘導された先が正しいかどうかチェックを強化する必要がある」と話しています。
決済などで利用広がる
QRコードは、平成6年に日本の大手自動車部品メーカーが開発した技術で、情報を1枚の図形に盛り込んでスマートフォンなどで読み取ることができます。
読み取りが速く、記録できるデータ量も大きいため、広告や観光案内、それに電子チケットなどさまざまな場面で使われているほか、現金の代わりにQRコードを使った決済サービスも広がり始めています。
このうち、大阪・難波の商業施設では、ことし4月からほぼ全店のおよそ460店に、QRコードで買い物ができるシステムを導入しました。
利用者は買い物をする際に、店側が表示したQRコードをスマートフォンで読み取ることで一瞬で決済することができ、代金は口座から直接、引き落とされます。
QRコードを使った決済サービスは、中国など海外でも広がっていることから、外国からの観光客が利用することも多いということで、この商業施設では開始から2か月で、売り上げの4%をQRコードの決済が占めたいうことです。
買い物客は「サッと会計ができて、とても便利です。現金を出す機会がだいぶ減りました」と話していました。
南海電鉄・なんばCITY担当の黒田康介主任は「スマートフォンさえあれば、買い物ができるという点が非常に魅力で、海外の利用者も多い。セキュリティー対策を万全にしたうえで、今後も利用を広げていきたい」と話していました。
改ざん被害も
QRコードの普及に伴って、QRコードを改ざんしてインターネットの悪質なサイトに誘導したり、現金がだまし取られたりする被害も出ています。
神戸大学の研究グループなどによりますと、QRコードは見ただけでは内容がわからないため、改ざんしたQRコードを読み取らせる手口が多いということです。
このうち、中国ではスーパーで商品ごとに掲示された支払い用のQRコードを、客がスマートフォンで読み取って決済するサービスが普及しているということで、改ざんしたQRコードを正しいコードの上から貼り付ける手口で、代金をだまし取られる被害も相次いでいるということです。
また、国内でもインターネットに掲載したQRコードで、悪質なサイトに誘導して、個人情報などをだまし取ろうとする手口が確認されているということです。
http://www3.nhk.or.jp/news/html/20180623/k10011492631000.html
- 185 :名無しさん@1周年:2018/06/24(日) 17:12:29.15 ID:Xfj2R3VB0.net
- >>184
そんな掠れて読めないなら商品そのものが不良とすべき
間違った値を読まれるよりマシ
- 186 :名無しさん@1周年:2018/06/24(日) 17:14:31.22 ID:sR7f52vT0.net
- これは、かなりヤバイな。
こうやって公開すると、弱点を探し出して使う奴がでてきそうで、逆に怖いわ。
- 187 :名無しさん@1周年:2018/06/24(日) 17:18:45.50 ID:Z//MD9K+0.net
- >>185
QRコードは多少の汚れなどに強いのが売りなの
そして普通はダメだった時は読み込めなかったデータは捨てるから間違ったデータが出てくることは無い。
そこのスキをつく方法があったから弱点見つかったという記事になったわけだ。
最初からわかっていれば内容にチェックデジットをいれて解決。
誤り訂正に強すぎたのが仇になったんだと思う。
- 188 : :2018/06/24(日) 17:19:14.20 ID:svwuliFH0.net
- >>183
そうそれ、試しに他のドットも変えてみればいい
これはグレーのところを誤読して欲しいってのが見え見え
- 189 :名無しさん@1周年:2018/06/24(日) 17:20:02.58 ID:E8UZNJCS0.net
- >>3
分かってないのはお前だ
- 190 : :2018/06/24(日) 17:20:22.96 ID:svwuliFH0.net
- >>187
いや、お前分かってないよ
汚れに強いってのはグレーだの白黒だのという話でなくて、
誤り訂正符合が強力なだけだ
- 191 :名無しさん@1周年:2018/06/24(日) 17:29:28.55 ID:Z//MD9K+0.net
- >>190
誤り訂正に強いよ
そしてサンプルでは灰色だけど欠けや汚点で灰色と同じことができる。
QRコードの誤り訂正の売りを考えても閾値でこの問題を抑えるのは無理と言う話だ。
- 192 : :2018/06/24(日) 17:30:35.50 ID:2Xg2VnVC0.net
- フリーサイトで作ったとして、適当なドットを1つか2つ反転させてみて読み込ませればすぐに分かる
まともなQRならそれでも意図した動作になるが、このやり方だと飛びたいサイトでもフィッシングサイトでもない所に飛ぶはず
- 193 : :2018/06/24(日) 17:31:16.69 ID:2Xg2VnVC0.net
- >>191
いや、誤り訂正の定義分かってる?
- 194 :名無しさん@1周年:2018/06/24(日) 17:31:58.31 ID:Xfj2R3VB0.net
- >>187
閾値の話かエラー訂正の話か明記してくれない?
- 195 :名無しさん@1周年:2018/06/24(日) 17:33:31.01 ID:1kOxs9hc0.net
- リーダーの方で、99.x%はサイトA、0.0Y%はサイトBっていう風に、列挙して読み取れないのだろうか‥ >>35 開発者の物言いだと、それが出来ないような感じだけど‥
- 196 : :2018/06/24(日) 17:36:11.53 ID:2Xg2VnVC0.net
- >>195
できるよ、圧倒的多数が404になる
- 197 :名無しさん@1周年:2018/06/24(日) 17:37:04.80 ID:1kOxs9hc0.net
- >>196 なんだ、ならいたちごっこの1ページだね
- 198 :名無しさん@1周年:2018/06/24(日) 17:38:03.84 ID:yxhVU8jD0.net
- >>188
わかりやすくしてくれたんだろうけど。
色も黒白以外なら気にもとめないだろうし。誤認できる割合も調整できるのであれば
信用できる企業、サイトのQRコード以外はゴミってなってしまうかんじ。
ハッキングで画像すりかえられたら、それはそれで対応できないし。
QRコードはウェブサイトのリンク用途としては使えないって話なのかもしれないな。
ほかの用途でがんばればいいとおもうw
- 199 :名無しさん@1周年:2018/06/24(日) 17:39:50.48 ID:W/ch7l4O0.net
- バーコードは優秀なんだな
頭がバーコードって表現するくらい普及してるし
- 200 : :2018/06/24(日) 17:40:47.18 ID:cD4axRfZ0.net
- >>198
それに近い、メールでURLむやみに踏まないのと同じように、
QRコードも気をつけましょう、位の話
これはアピールが上手い
- 201 :名無しさん@1周年:2018/06/24(日) 17:44:08.11 ID:ybpKzaUy0.net
- QRコードを使う層
- 202 :名無しさん@1周年:2018/06/24(日) 18:16:24.69 ID:bw7xndxx0.net
- 情報をコードに転換してるだけなのに
なにが弱点だよ?
- 203 :名無しさん@1周年:2018/06/24(日) 18:18:20.55 ID:6kcwsd6j0.net
- >>198
QRコードと一緒にURLも書いておいて読み込んだアドレスが正しいか確認するようなやり方しかないと思う
- 204 :名無しさん@1周年:2018/06/24(日) 18:30:15.48 ID:1kOxs9hc0.net
- >>203 よくゲーム機なんかである(気がする)カメラの画面に写った直接URL文字列読み取るのよりも良い事あるんだろうか‥
- 205 :名無しさん@1周年:2018/06/24(日) 18:44:58.30 ID:6TEboDY40.net
- QRコードの仕様上ちょっと面白いことも出来る、
が「QRコードシステムおわた!オワタヨー!」
に見えちゃう可哀想な子が結構いるな
- 206 :名無しさん@1周年:2018/06/24(日) 18:49:48.27 ID:/g97KYYf0.net
- >コードを生成する際に不正な操作を加えると
この時点でなぁ
- 207 :名無しさん@1周年:2018/06/24(日) 18:51:57.10 ID:ddOYL4zA0.net
- やっぱり、現金が最強。
- 208 :名無しさん@1周年:2018/06/24(日) 19:27:31.82 ID:vQ6eHJOl0.net
- そらそうよ
現金ダサいなんて言ってるの聞くとチェーン店しか行ってない田舎モンだなとすぐわかるわ
- 209 :名無しさん@1周年:2018/06/24(日) 19:45:46.46 ID:SU2S9SDx0.net
- だろうと思った。商品の値段も1000倍にされてても年寄りはきずかないだろうしさ
- 210 :名無しさん@1周年:2018/06/24(日) 19:46:54.57 ID:x5USp99c0.net
- こういう場合はデンソーが修正するんだろうか?
- 211 :名無しさん@1周年:2018/06/24(日) 20:06:47.93 ID:pvSwxD110.net
- >>207
中国のATMは偽札を吐き出すから、と普及したのがQRコード決算なんだよ
要は中国人が運用したら全て糞になる
- 212 :名無しさん@1周年:2018/06/24(日) 20:22:03.67 ID:CVg88lJd0.net
- >QRコードは、平成6年に日本の大手自動車部品メーカーが開発した技術
忖度してんじゃねーぞはっきり社名出せやクソが
- 213 :名無しさん@1周年:2018/06/24(日) 20:30:52.03 ID:UxG75ZJe0.net
- >>55
ほんとだ
いろいろアプリ入れて見たら全部そうなった
ただiPhone純正カメラアプリだと
30回くらいやってもlobにならなかった
https://i.imgur.com/rjm3DjR.jpg
https://i.imgur.com/9ILUxgB.jpg
https://i.imgur.com/ezl3e6I.jpg
https://i.imgur.com/MVMWCVj.jpg
- 214 :名無しさん@1周年:2018/06/24(日) 20:50:14.85 ID:Z/5WYLEF0.net
- >>9
Gコードはアナログ放送時代には有効だったがデジタル放送は番組だけでなく番組情報(番組表)も含まれているため必要なくなった
- 215 :名無しさん@1周年:2018/06/24(日) 20:53:17.32 ID:Z/5WYLEF0.net
- >>16
ガラケーはQRコードをURLにしか使わせなかったけどスマホになって汎用性が上がり
URLでもただのテキストデータでもなんでも送受信可能になったから使用状況は増えた
- 216 :名無しさん@1周年:2018/06/24(日) 21:07:42.51 ID:44brtz6Z0.net
- >>215
んなことねーよ
ガラケーの頃から住所やら一括でQR化して名刺に載せてたわ
- 217 :名無しさん@1周年:2018/06/24(日) 21:10:31.66 ID:Z/5WYLEF0.net
- >>216
ガラケーはQRの読み取りが機種依存
URL以外を不正とする機種は普通にあった
- 218 :名無しさん@1周年:2018/06/24(日) 21:15:12.54 ID:V2n0dT640.net
- 初期型iPadで読めるのが前提で作ってた頃のを見るとでかくてビビる
- 219 :名無しさん@1周年:2018/06/24(日) 21:16:14.60 ID:qqTKsAfe0.net
- 冗長符号の長さが足りないだけ。
ちゃんと設定すればこんな問題起きない。
- 220 :名無しさん@1周年:2018/06/24(日) 21:25:27.91 ID:0Z5JHYYK0.net
- なんかプリキュア
- 221 :名無しさん@1周年:2018/06/24(日) 21:43:52.99 ID:zF646s7p0.net
- ワシもQRコード安全神話分からん
コード自体一見読み取れ無いだけでスマホで読み取れば
具体的な文字列が見える訳でハッキングし易いと思う
- 222 :名無しさん@1周年:2018/06/24(日) 21:49:08.78 ID:Hd17f/DZ0.net
- これからは目視でQRコードを読めるスキルが必要になってくるな
- 223 :名無しさん@1周年:2018/06/24(日) 21:50:36.81 ID:1kOxs9hc0.net
- >>222 答えはたいてい添え書きしてあるからなぁ
- 224 :名無しさん@1周年:2018/06/24(日) 22:48:59.53 ID:mhFgH0f60.net
- >>3
恥ずかしくてID真っ赤になってるな
- 225 :名無しさん@1周年:2018/06/24(日) 23:30:54.66 ID:4ynLEj7E0.net
- >>224
IDが真っ赤?
- 226 :名無しさん@1周年:2018/06/25(月) 00:49:09.26 ID:mSfYt1Ax0.net
- >>224
お前ももうすぐ赤く染まる
- 227 :名無しさん@1周年:2018/06/25(月) 06:56:37.49 ID:r74H34xL0.net
- >>75
デンソー純正だと、問答無用でブラウザ開くんだよな
- 228 :名無しさん@1周年:2018/06/25(月) 07:00:03.07 ID:jkT5kDi30.net
- >>219
たぶんその逆ではないかと。冗長性を利用してるんじゃないかな。
>QRコードはコードが汚れていたり、破損していても、コード自身でデータを復元する機能を持っています。
「誤り訂正能力」は4段階用意されており、ユーザが使用環境に合わせてレベルを選択する事ができます。
このレベルを上げれば、誤り訂正能力は向上しますが、データが増えるため、コードのサイズは大きくなります。
どのレベルを選択するかは、ご使用になる環境、コードサイズ等で総合的に考慮して判断します。工場などの
汚れやすい環境ではレベルQやHを選択し、それほど汚れない環境でデータ量が多い場合などは、レベルL
を選択する事もあります。一般的にはM(15%)で運用されるケースが多いようです。
- 229 :名無しさん@1周年:2018/06/25(月) 08:03:37.39 ID:57rimkkL0.net
- QRコード取り替えるやつは中国で流行ってたな
- 230 :名無しさん@1周年:2018/06/25(月) 11:06:56.84 ID:7lOnxjtw0.net
- QRコードに埋め込めるのはべつにURLだけじゃないんだから、それをURLかどうか判断するのはアプリ側なわけ。
つまり、そのURLが不正なものかどうかの判断もアプリ側で可能。
そのためのロジックだけ確立して公開すれば良い。
- 231 :名無しさん@1周年:2018/06/25(月) 11:12:44.15 ID:/lIVlmvC0.net
- みんないろいろ考えるなあ
- 232 :名無しさん@1周年:2018/06/25(月) 11:29:11.14 ID:9meqQJPI0.net
- 一マス黒い■を書き足す落書きをするとか?
- 233 :名無しさん@1周年:2018/06/25(月) 11:33:18.36 ID:Xr21mF3A0.net
- 大体無料の怪しげなQRコード読み取りアプリとか使ってる時点ですでに詰んでるのに今更w
- 234 :名無しさん@1周年:2018/06/25(月) 11:36:41.23 ID:OViHlD410.net
- >>40
今の生産現場はQRだらけだぞ。
元々はデンソーが工業用に作った規格。
便利だから他用途にも派生しただけ。
八木アンテナとは根本から違う。
ちなみにそういう自国では省みられず、他国(敵国)で評価されちゃった技術は欧米でもあった。
総レス数 234
65 KB
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★