【IT】QRコードにセキュリティー上の弱点見つかる 不正サイトに誘導も
■ このスレッドは過去ログ倉庫に格納されています
電子決済や広告などに広く利用されている「QRコード」に、偽の情報を仕込むことができるセキュリティ上の弱点があることが、神戸大学のグループの研究でわかりました。この弱点を悪用すると、利用者を一定の割合で不正なサイトに誘導することも可能で、グループではセキュリティー対策の強化が必要だとしています。
QRコードは、インターネットのアドレスなどの情報を白と黒の四角い図形として表示し、スマートフォンなどで読み取るもので、電子決済や広告などに広く利用されています。
このQRコードのセキュリティについて、神戸大学の森井昌克教授らのグループが検証したところ、コードを作成する際に不正な操作を加えると、本来の情報に加えて、偽の情報を仕込むことができることがわかったということです。
これはコードを読み取る際のエラーを修復する機能を悪用したもので、こうして作られたQRコードを読み取ると、多くの場合は本来のサイトに誘導されますが、100人に1人といった一定の割合で、別のサイトなどに誘導することができるということです。
このため、金融機関などにつながると偽装したQRコードが表示されていた場合、本来のサイトに誘導されることもあるため、利用者が不正に気付きにくくなるおそれがあるということです。
こうした弱点を悪用した被害などは、まだ確認されていないということですが、森井教授は「QRコードは急速に普及しているので、今後、狙われる危険性がある。QRコードは一見しただけでは内容がわからないので、誘導された先が正しいかどうかチェックを強化する必要がある」と話しています。
決済などで利用広がる
QRコードは、平成6年に日本の大手自動車部品メーカーが開発した技術で、情報を1枚の図形に盛り込んでスマートフォンなどで読み取ることができます。
読み取りが速く、記録できるデータ量も大きいため、広告や観光案内、それに電子チケットなどさまざまな場面で使われているほか、現金の代わりにQRコードを使った決済サービスも広がり始めています。
このうち、大阪・難波の商業施設では、ことし4月からほぼ全店のおよそ460店に、QRコードで買い物ができるシステムを導入しました。
利用者は買い物をする際に、店側が表示したQRコードをスマートフォンで読み取ることで一瞬で決済することができ、代金は口座から直接、引き落とされます。
QRコードを使った決済サービスは、中国など海外でも広がっていることから、外国からの観光客が利用することも多いということで、この商業施設では開始から2か月で、売り上げの4%をQRコードの決済が占めたいうことです。
買い物客は「サッと会計ができて、とても便利です。現金を出す機会がだいぶ減りました」と話していました。
南海電鉄・なんばCITY担当の黒田康介主任は「スマートフォンさえあれば、買い物ができるという点が非常に魅力で、海外の利用者も多い。セキュリティー対策を万全にしたうえで、今後も利用を広げていきたい」と話していました。
改ざん被害も
QRコードの普及に伴って、QRコードを改ざんしてインターネットの悪質なサイトに誘導したり、現金がだまし取られたりする被害も出ています。
神戸大学の研究グループなどによりますと、QRコードは見ただけでは内容がわからないため、改ざんしたQRコードを読み取らせる手口が多いということです。
このうち、中国ではスーパーで商品ごとに掲示された支払い用のQRコードを、客がスマートフォンで読み取って決済するサービスが普及しているということで、改ざんしたQRコードを正しいコードの上から貼り付ける手口で、代金をだまし取られる被害も相次いでいるということです。
また、国内でもインターネットに掲載したQRコードで、悪質なサイトに誘導して、個人情報などをだまし取ろうとする手口が確認されているということです。
http://www3.nhk.or.jp/news/html/20180623/k10011492631000.html > これは
> コードを読み取る際の
> エラーを修復する機能を
> 悪用したもので、 >>1
これ記事書いた奴はわかってないだろw
上から偽のコードを貼りつける手口だったら脆弱性とか関係ないw 中国で偽QRコードシールを大量生産してたのが摘発されたニュース動画見たことあるが、レストランのメニューとかに重ね貼りするそうだから、分からんわな
シール作るコストも激安だろうし 過去何度か使ってみたがうまく読み取れないのか違うサイトに飛ばされそうになったことがよくあったので、
最近はQRコード使ってないわ。
今は良くなっているのかな。 TV録画に使っていたGコードはいつの間にか無くなっていたな
今使ってるビデオデッキのリモコンにGコード読み取り機能があるが全く機能してない >>3
それだと一発でバレるだろ
一定の確率で偽サイトに行くというとこがミソ >>1
以下の理解で合ってるかな?おせ〜て、エロい人!
単にQRコードの仕様上の弱点が見つかっただけ。
悪用するには実際に店で偽コードを読ませないといけないから、貼り替えるか、店員もグルでないと難しい。 おれがちょっと考えただけでも、キャッシュレスなんてので、良からぬことをいろいろと思いつくんだけれども。
そういうことを社会実験の中でひとつひとつ潰していって、それがノウハウみたいになるんだろうけど、
高度成長の日本は全部、自分たちのなかで貯め込んで外に出さなかった。
ヨーロッパのような先進国からみれば、経済発展させてやってる目的はそうした社会実験をやらせてその成果を盗みとることなのに、
それをやらないのであれば潰してしまえ。
逆にいえば、中国が人権や自由を無視して社会実験を繰り返し、その成果を先進国に還元する限り、
中国が潰されることはない。
という妄想。 >>3
じゃなくて貼り付けた上に1/100の確率で詐欺サイトに飛ばすから
正規のQRかどうかわからず見つかりにくいってことやないの? QRコードは急速に普及している
そうかな?
出始めの頃から全く変わりない状態だと思うけど >>12
これは客を装ってQRをあちこち貼っていくってやつやろ
中国で問題になったのは ここにアクセスしてね!
が貼り替えられると、100人に1人が被害に遭うかもってやつだな。
ソフト側の生成する時点での欠陥だから、新しい奴には対処は比較的容易だな。 意味わからん。そもそも最初から怪しいQRコードを読まなければ良いだけでは? >>20
張替えってより、QRコードの生成ルーチンを書き換えられる
方が深刻だな。ウイルスに仕込んでターゲットのQRコード
生成部を改竄。それに気づかずにQRコードを作ると
99%は意図した通り読めるが1%の確率で仕込みが
発動する。
この仕込みありQRコードを正規ページに貼ってしまうと… 日本政府のコメントないの??
どうするんだろ?日本人として恥ずかしい >>23
その仕組に脆弱性がみつかって悪用されることがありうると言ってるだと思う >>12
たしかqrコードには、エラーが起こった時にそれを
補完する機能があったような。
その仕様を悪用してるってことでね?
店側がそれを仕込んでおいて、偽ページに飛ばして
IDとパスを盗むとか。 >>17
あのう、QRコードは日本発祥なんですが・・・ 例えば地震が起きたときに赤十字に直接送金できるQRですっていってfacebookで拡散させて、1/100くらいで自分に送金できるようになってるとボロ儲けてきるな > 100人に1人といった一定の割合で、別のサイトなどに誘導
誤り訂正の処理に乱数でも使ってんのか? このため、金融機関などにつながると偽装したQRコードが表示されていた場合、本来のサイトに誘導されることもあるため
あの、偽装されていた時点で終わってんじゃないの?何が言いたいのか謎なのだが focusが甘い状態で読むと別のアドレスになるとか?
下半分隠されたら別のアドレスになるとか? QRコードのコピペあったよね
データが全部消えるんだっけ >>35
そこに掲載されてる、間違えるQRコードを読んだけど、
同じアドレスしか出ないな >>18
>>29
サンクス。
なんとなくわかったような… >>19
堅実なことで有名なドイツ人が
一番の現金主義だからな もうスマホならURLの文字列を認識できるでしょ
QRコードなんて可読性もないし上からシール貼られたら終わり ■正しいQRコード
コードに設定されたアドレス:A
コードを読み取った時の表示:A
実際に開かれるアドレス :A
■不正なQRコード
コードに設定されたアドレス:A (B)
コードを読み取った時の表示:A ←@
コードを読み取った時の表示:A B ←A
実際に開かれるアドレス :B
QRコードのエラー訂正の仕組みを使って(B)を仕込める、てことかな
@なのかAなのか知らんけど
Aは昔流行った「JK.jpg .exe」みたいなものか >>41
大多数の人は問題なくてたまに当たる人がいるんだろうな。
よく見ると1ドットだけ灰色で明るさの関係で1にも0にもなるようになっているな。 >>48
グレーを白と認識するか、黒と認識するかで飛ぶページが違うのかな?
そもそも誤り補正をガンガンかけた状態で正規のページと認識していて
グレーの認識しだいでは、別の不正ページに飛んじゃうとかか? >>30
そもそもデンソーは自分とこの工場で使うことが前提で決済に使うとかアホなことまで想定していないw
25年前くらいの技術なんだぞw >>23
単なるurlだとQRコードの仕様自体のチェックサム機能が働いて、ビミョーなQR画像が解釈の違いから
99回は銀行サイト
1回は詐欺サイト
につながるというようなことだと思う。
支払いQRコードの場合は、ペイメント会社が設定したチェックサムが機能する形で、上記のようなビミョーな判定は起こらない。 リーダーが取得画像から何パターンか汚した画像を生成して認識させて多数決取ればいいんじゃね こんな物を決済に使うとか支那人は野蛮だとは思ってた
こんな簡単にコピー出来るような物を スマホみたいなきじゃくせいの塊みたいなもんで決済するのやめりゃいいんだよ >>37
昔の携帯で甘い・距離が離れすぎてる・汚れてる状態で読むと大抵は失敗するが
たまに正しくないバグった文字列データが表示されてしまうのはあった
データが化けた場合も複数起これば辻褄があって問題なしとすり抜ける場合があるように
たまたまデータとして解釈できてしまうとそうなるんだろうと思ってた QRコード自体の問題ではないだろ
ハードウェアの方で画像を完璧に読み取ればごまかしようがない >>30
QRはライセンス料無料だから普及が進んだ
日本は有料のsuicaを大人の事情で普及させたからガラパゴス化した >>3
それは脆弱性とは別の事例として書かれてる
落ち着いて読め >コードを読み取る際のエラーを修復する機能を悪用したもの
こんな機能は無くせばいいじゃんって素人は思うんだけど
何度もエラーが出て撮り直しとか不便になるのかなww 灰色使われるのに対しては灰色を白か黒か判断させない
中間にグレーゾーン設けて3段階にして白と黒の判断のギャップを開かせて
グレーゾーンの濃さ部分があるとなるとエラーで強制終了ってのもあるかもなぁ 気づくの遅すぎw
そんなリスク存在しないって吠えてた信者今頃どんな顔してるかな 読み取ってページ遷移する前にURLしっかり見て確認するしかないけど
普通QRコードって読み取り後にURLを確認してから移動するもんじゃないの?
別に脆弱性利用しなくても、最初から不正サイトに誘導するような
QRコードだったりするかもしれないんだしさ 要点がバラバラやん
QR決済なら偽サイトとの認証が出来たとしたら、その決済会社は終わっとる
偽サイトへの誘導なら、そんな面倒な事をする必要はない、表面上は普通のサイトを装う必要が無いのだから
エラー発生時の近似値ドメインを取得してた場合、例えばGooogleのように一見解らないサイトへの誘導だとしても効率が悪すぎる
つまりはQRコード利権に混ぜろって事か? >>50
そのグレーを白くしても黒くしても同じところに飛ぶね >>80
違うところだった。labとlobの違い
もっと例題として分かりやすい例題にしろと >>26
どうして日本政府が対応するんだ
馬鹿なの?チョンなの?シナなの? >>59
URLにつかう場合はやばいけど、
決済に使う場合は関係ないじゃん >>69
QRコードなんで、誤り訂正符号の賜物だよ イラストが入ったお洒落なデザインQRコードもあるけど、洒落にならんな。 1/100確率ってところがミソだな
絶妙にバレにくい 最初から不正サイトの情報を入れておけばいいじゃん
目視で読み取れるわけないんだから >>91
100発100中ならばれる
100回に1回なら、下手したらずっとばれない
不正サイト被害があってQRコード怪しんでも
そのとき再現しなければ、他の経路を調査するだろ TSUTAYAのセルフレジで自分でクーポンのQRコード読み込みさせるの面白いわ >>83
謝り訂正を使用しているから何文字も変えれないんでしょう
www.a.comというアドレスがあるとして
www-a.comと言うアドレスを犯人が取得する
本当はa.comホスト宛のアクセスをwww-a.comが貰うような形にするわけだ。 QRコード決済がセキュリティー的にありえないことはわかってること
使うやつがバカ
中国でも詐欺多発 アカンやんw
どーせiDやクイッペ浸透しまくってるから今更使う気ゼロで消滅するやろーけどw 確率的にエラー訂正内容が変わるっていうのは
エラー訂正のする順番がキャプチャしたときに変わるんか? >>96
そういう細かいことを気にするからジャップランドは技術的に遅れるんだ ■ このスレッドは過去ログ倉庫に格納されています