QRコードを使ったフィッシングに気をつけろ! 62
ストーリー by soara
キャンペーンサイトです、と言われると騙されるかも 部門より
キャンペーンサイトです、と言われると騙されるかも 部門より
あるAnonymous Coward 曰く、
携帯電話にQRコードリーダー機能が搭載されるようになり、最近では色々なところで見かけるQRコードですが、これを悪用する事例があるようです(Web担当者Forumの記事)。
その手口は非常に簡単で、町中の看板やポスターなどに印刷されているQRコードの上に、誘導したいサイトの情報を入れたQRコードを貼り付けるだけ。知らずにユーザーがQRコードをスキャンすると、別のサイトに飛ばされる、という仕組みです。
いまのところ大きな被害はでていないのですが、たとえばキャンペーンサイトなどの場合、本物のサイトとそっくりなサイトを作って個人情報を収集する、といったことも十分考えられます。
タレコミ子もこのQRコードの危険性にはまったく気付かずに利用していましたが、リンク先URLについてはちゃんと確認しよう、と思いました。
QRコードの問題か? (スコア:4, すばらしい洞察)
>その手口は非常に簡単で、町中の看板やポスターなどに印刷されているQRコードの上に、誘導したいサイトの情報を入れたQRコードを貼り付けるだけ。
こんなの、似た偽URLのシールを貼っても有効だし、偽電話番号を貼っても同様じゃないか。
QRコード独自の話じゃないだろう。
Re:QRコードの問題か? (スコア:1, 興味深い)
QRコードはそれが全く出来ないのがまずいって事じゃないのかな。
まあ、予測にも限界はあるけど。
Re:QRコードの問題か? (スコア:1, すばらしい洞察)
偽URLの場合は、URLを視認して怪しいと気づく可能性がありますけど、QRコードの場合はURLを全く意識しないでそのサイトにたどりついてしまうので、危険性が高いという意味で特にQRコードの脆弱性と言えなくもないでしょう。
偽URL、偽電話番号その他の偽造シールにも注意しろというご警告はごもっともでございます。
Re:QRコードの問題か? (スコア:1, 参考になる)
電車の広告などで見かける携帯電話向けのURLには、「携帯電話の入力方法で打ち込みやすい文字列」としか思えない、組織名とはまったく関係のないドメインを使ってるものが結構あるので、もうURLだけでは繋がりを判断できないですよ。
Re:QRコードの問題か? (スコア:1)
特に、「なんたら@どこどこ~ まで空メールを」の類だと、URLでは全く区別できないのではないかと。
1を聞いて0を知れ!
Re:QRコードの問題か? (スコア:1)
たしかにQRコードはURL誘導のための技術じゃないから
QRコードリーダーの実装に問題が。
URLが表示されてサイトに飛びますよ?(Y/N)と聞かれても
そのURLが正しいモノかどうかはまったく解らん。
えー、だってY押したのユーザーじゃん、おら知らねぇよと
実装した中の人からの声が聞こえて
#きたら楽しいなあ、と。
対策案 (スコア:2, すばらしい洞察)
ドメイン名だけの短いURLを確認せよというのなら、URLを手入力させた方がよくないか?
しかしそれでは typo の危険があるから、単に『ドメイン名だけの短いもの』ではなく視認性のよい文字列でかつ短い名のドメインURLにせよという方が気が利いていそう(この時点で手入力ではうざったい文字の羅列を気にせず入力できるQRコード唯一のメリットが失われそうだ)。または『信頼できそうな看板のQRコードか確認する』とか(w
# QRコードは使ったことがないのでID
モデレータは基本役立たずなの気にしてないよ
Re:対策案 (スコア:1, すばらしい洞察)
それにQRコードと一緒にURLも貼られたら意味がないと思いますが・・・
まあ、町で拾ったモノには色々リスクがある、というだけじゃないでしょうか?
Re:対策案 (スコア:1)
QRコードをいちいちCAが認証するサービスを始めてみる。
QRコードを作る→CAに登録する→QRコードの発行者の証明と無改変の証明→ポスターなどに記載→ユーザが見かける
→QRコードの横にある認証用QRコードを読み取って、サイトに移動、QRコードの画像が表示され、同じものかを確認→ポスターのQRコードを読み取る
なんちゃってwww
Re: (スコア:0, すばらしい洞察)
QRコードがそもそもURLの文字列を見ない様な奴をサイトに誘導するための仕組みなんだから
そんな確認を推奨しても実効性は甚だ疑わしいですが
まあそれでも問題が生じた時にする言い訳の材料にはなるかもしれません
Re: (スコア:0)
URLを見るけど打ち込みたくないという可能性は?
何を言っているかわからないならたぶんPCしかお使いになったことがないのでしょう。一度やってみればすぐに理解できます。
車内広告からURLが消えて(予測入力の効く)日本語の検索ワードを入力させる方式ばかりになったのも同じ理由です。
Re: (スコア:0)
それでも、誤認識しやすい文字を使って別のサイトに誘導しようとする可能性はありますが。
#程度の問題とはいえ、「空メールを~」というのも、メアドを「振り込んでる」と解釈できますよね。
シール対策 (スコア:2)
それはQRコードの部分を特大にすることだ!!
でかいシール作って貼るコストを考えると、ちょっと手を出しにくいだろう。
1m×1mのシールなんて誰が作ると思う?
Re:シール対策 (スコア:2)
シールが大きくなれば、シールと紙の境界部分は相対的に小さく見えるようになるので、
逆に危険度が増すかもしれません。
Re:シール対策 (スコア:2)
汎用的に使えるじゃないですか
どれぐらい書き換えれば違うURLになるんだろう
Re:シール対策 (スコア:1)
それで離れて撮影しようとするとピンボケして読み取れません。
この前デジタル放送のデータ放送のQRでひっかかりました。
携帯サイトでもやっぱり証明書は大切だなぁ (スコア:1)
携帯電話のブラウザの場合,オレオレ証明書は例外的に出会っても受け付けないものが多いようなので,携帯サイトにこそサイト証明書は大切なのかも,と思いました.しかし携帯電話のブラウザにおいてHTTPSで接続しているかどうかがあまり目立つようにインジケートされていないようにも感じます.
自分が使ったことのある数台の携帯電話についてたブラウザだけがサンプルなので,「ようなので」とか「感じます」の域を出ません.
屍体メモ [windy.cx]
Re:携帯サイトでもやっぱり証明書は大切だなぁ (スコア:2, 参考になる)
携帯で使えるオレオレじゃない証明書が $100/年以下で買えてしまうのに、オレオレ証明書を使う意味はないですよね。
で、証明書があったところで、アクセスして毎回証明書の内容を目で見て通信相手が信頼できるか確認、なんてしないので、今回の件の対策にはならないです。
(ちなみに$100以下で買える証明書は3G端末のみサポートしてますが、それでケータイWebユーザの9割以上を対象にできるので十分でしょう)
>しかし携帯電話のブラウザにおいてHTTPSで接続しているかどうかがあまり目立つようにインジケートされていないようにも感じます.
「SSL通信を開始します」とかめちゃくちゃウザい(大半の人には意味が分からない)ダイアログが出ますよ。
Re:携帯サイトでもやっぱり証明書は大切だなぁ (スコア:1)
Cookie認証がどうとかいう言葉を聞いたことがあるので、かなり不安…
Re:携帯サイトでもやっぱり証明書は大切だなぁ (スコア:1)
最近は使えるようになった(またはそろそろなる)のですかね?
ところで、自分の携帯(N904i)はHTTPSの場合はページアクセス毎に「SSL通信を開始します」
って出るのでHTTPSかどうかはアクセスするだけで確認できます。
証明書の確認も一応できますよ。
# yes, fly. no, fry.
Re:携帯サイトでもやっぱり証明書は大切だなぁ (スコア:2, 参考になる)
>最近は使えるようになった(またはそろそろなる)のですかね?
携帯サイトやってますけど、ドコモ以外はだいたい使えます。
ドコモだけ使えませんので、ユーザ管理ページとか別に作ってます。
URLにセッションID埋め込んだり、<input type=hidden ~~>で渡したりしながら。
Re:携帯サイトでもやっぱり証明書は大切だなぁ (スコア:1, 参考になる)
これはQRコードによる初回アクセスの話なので、SSLにすれば良いという話ではないでしょう。
https://www.rcis.aist.go.jp/special/websafety2007/ [aist.go.jp]
の「(A) 初めて訪れたサイトの場合」にある通りのことが必要になるわけですが、携帯のUIが貧弱なので、確認は難しいでしょうね。
操作の煩雑さは増しますが、iモードメニューなどからたどる方が余程安心できると思います。
Re:携帯サイトでもやっぱり証明書は大切だなぁ (スコア:1, 参考になる)
証明書の第一の役割は、アクセスしようとした URL のサイトに正しく接続できたかどうかを担保することであって、
最初から誤った URL へ誘導される今回のような件には効果が半減しませんか?
もちろん証明書の内容を検証すれば良いのですが、そういう習慣はまったく広まっていませんし、
検証しようにもサイトの持ち主の名前ではなく、運営を委託された業者のものになっていることもしばしばです。
この辺の事情は PC においても全く同じことがいえますが。
Re:携帯サイトでもやっぱり証明書は大切だなぁ (スコア:1, 参考になる)
手元の端末(NetFront搭載のソフトバンク機種)では最初に「ここからのページは高度なセキュリティで保護されます」というメッセージボックスが表示されて、パケット通信中のアイコンに鍵マークが常時表示されます。
2Gの頃は確かにあまりハッキリと明示されていなかったような記憶がありますが、現在はパソコンと大差なくなってますね。
QRコードは(株)デンソーウェーブの登録商標です (スコア:1)
と書かないといけないってことはないのですか?
QRコードについて [denso-wave.com]の、「QRコードの知的財産権について」より、
(強調は俺が勝手に)
ということで、QRコード自体をプリントしてるかどうかには触れておらず、QRコードという言葉に対して課せられているようなのですが。
そもそもこんなの無効ですか?
ファミレスの店内でも何かのチラシでも、「QRコードを云々かんぬん・・・」って書いてる印刷物に
「QRコードは(株)デンソーウェーブの登録商標です」って書いてるのは少ないようですし。
# ここはホームページじゃねぇって議論は別の話として・・・
Re: (スコア:0)
Re: (スコア:0)
商標の使用が規制されるのは指定役務において(たとえば三次元バーコードを使った類似商品を販売したりする場合)のみです。掲示板で「QRコード」という文字列を使うだけで規制される理由はまったくありません。
もっとも(株)デンソーウェーブの商品を利用した場合にのみフィッシングが可能なわけではないでしょうから、「三次元バーコード」などの一般名称を用いたほうが適切ではあるでしょう。
Re:QRコードは(株)デンソーウェーブの登録商標です (スコア:1)
元ACそれ次元いっこ多い――!
Re: (スコア:0)
ただひと言。何時からQRコードは立体になったんだい?(ツッコミ(w)
Re:QRコードは(株)デンソーウェーブの登録商標です (スコア:2, おもしろおかしい)
http://www.qrcodeblog.com/qr/0501/050131_qr_cube.gif [qrcodeblog.com]
こういうの?
Re:QRコードは(株)デンソーウェーブの登録商標です (スコア:1)
こんなの [nifty.com]とかこんなの [qrcodeblog.com]だったりして。
マラソンで二位を抜いたら何位?
これをWebでおこなう可能性 (スコア:1)
不正アクセスによるサイトの書き換えの際、QRコードだけを書き換えて偽サイトに誘導するような事例はどうだろう。
アンチウイルスでは検出できない(QRのデコードをしてURLをチェックする機能の実装は可能だけど)は働かないし、
サイト運営者がログチェックなどで見落とせばシールと同様の効果が得られるかも知れない。
既に (スコア:0)
http://java-house.jp/~takagi/paper/marcusevans-phishing-2005-takagi-dist.pdf
↑の最後のページ。
2005~2007年頃 (スコア:4, 参考になる)
高木氏のプレゼンPDFは後日配布版2005年4月とありますが(PDFの日付は2006年3月)、ちなみにタレこみの元ネタは2007年8月の雑誌記事をWebに再録したもの。あと、後者の結論は分かりやすいURLがいいというもので、それには日本語ドメインがいいね、というのがちょっと...
検索してて気づいたが、QRコードの偽装の手口にこんなものがあったんですね(今は解決済みのはずだが)。
バーコード (2次元コード) リーダーご利用にあたっての注意点 2005年4月14日 [kddi.com]
この件に関する高木氏の詳しい解説>高木浩光@自宅の日記 [takagi-hiromitsu.jp](元は2005年4月)
検索してると、QRコードでフィッシング対策という記事が引っかかるのが、ちょっと微妙...
QR携帯って普通なの? (スコア:0)
QR認識機能のない携帯からだと、困るんですよね。付いてるのが普通、みたいな扱いなんですかね。付いてない携帯も結構多いと思うんですけど。
携帯のアドレスへ送る機能(Mailto~の中身ね)や、PCのサイトURLから推測して試行錯誤してたどり着くんですが、時間も金もかかるし分からない場合もかなり。
で、WILLCOMだと更にはねられたり。orz
Re:QR携帯って普通なの? (スコア:1, フレームのもと)
QRコードしか書いてない広告などがよろしくないことには
賛同します。しかし、今は
という携帯を売っていないと思われます。
便利だから、キーボードがあろうとなかろうと、
QRコードリーダーは付けてほしいとも思いますけどね。
Re:QR携帯って普通なの? (スコア:2, おもしろおかしい)
Re:QR携帯って普通なの? (スコア:1)
NM1100とかで出してくれてれば…
Re:QR携帯って普通なの? (スコア:1)
Re:QR携帯って普通なの? (スコア:1)
動かないそうですよ。.sis叩くとインストーラが一瞬見えて落ちるとか。OS自体は3rd FP1なものの、RealPlayerとかノキブラすら無しです。
Re:QR携帯って普通なの? (スコア:1)
>QRコードを読み込めない
>という携帯を売っていないと思われます。
よくもiPhoneユーザーの泣き所をえぐってくれましたね…。
ソフトバンクモバイルで、2008年に最も売れた携帯電話なのにぃ。(ToT)
@QRコードを読むソフトは市販されているが、カメラがマクロ撮影に対応しないので実用性がない。
これからは「QRコードを読めない=脆弱性が少ない」と考えることにしよう。そうしよう。
そうするんだったら!(ToT)
Re: (スコア:0)
Re:QR携帯って普通なの? (スコア:1)
警戒心が薄いようなな気がするんですが。
Re: (スコア:0)
解決案 (スコア:0)
1 デジカメで撮影してパソコンに取り込んでデコードする
2 脳内デコード
3 広告の文言でぐぐる
4 そんな広告無視する
Re: (スコア:0)
> 付いてるのが普通、みたいな扱いなんですかね。
1年前のデータですが、9 割ぐらい普及 [kanko-sp.co.jp]してれば普通と言えませんかね。
Re: (スコア:0)
> で、WILLCOMだと更にはねられたり。orz
WILLCOMは携帯じゃないからね。PHS。
オレもWILLCOMユーザだけど、別に自虐的な意味じゃなく、似て非なるものだと割り切れる人でないと使えない。
ここまで (スコア:0)
Re:ちょっと (スコア:1)
よっぽど分けたいなら phishing でいいんじゃないですかね?
Re:ちょっと (スコア:2)
あれ、fishingとphishingって発音違うの?
以上