アカウント名:
パスワード:
街の広告ポスターのQRコードに、上からシールはったら、簡単にマルウェア誘導できてしまいますよね。
QR コードを読み取ったときって一度 URL が表示されませんでしたっけ?それとも私のガラケーだけの仕様なのかなぁ…
#短縮URLを用いた多段階であれば意味は無いでしょうけど
URLが表示されたところで、それを見て一般人は判断できるのでしょうか。
仮に短縮URLが使われなかったとしても。
その話をし始めると、QR コードは関係なくなっちゃいますよ。
あと、街頭配布等されているQRコード付ポケットティッシュも悪用される可能性がある、という記事を読んだ記憶があります。
可能かどうかはわかりませんが、各読み取りリーダー間で不正なQRコードの共有を行ってほしいですね。今のセキュリティソフト開発会社が特定のQRコードを指定で塞いで、リーダーもそれにならって警告またはアクセス遮断を行うという感じで。そうすると、毎日リーダーのアップデートをしないといけなくなりますが。
QRコードリーダとブラウザの間にいれるだけで、わざわざリーダのアップデートなんていらないでしょ?ガラケーならやってたと思うけどなぁ。
セキュリティソフトを複数必要になるわけだし、意味わからん
別にQRコードはURLを示すだけじゃないですよ。
URLじゃないQRコードでどうやってマルウェア誘導すんの?
空メールとか電話とか。ユーザ数の多いQRリーダアプリの脆弱性をピンポイントで狙う、とかもあるかもしれないな。iPhoneデフォルトとかがあるなら、そういうのとか。
tel:もmailto:もURLプロトコルだろ。まあ確かにブラウザとの間になにか入れるだけでは防げそうにないが。
>iPhoneデフォルトとかがあるなら、そういうのとか。とりあえずこれ、情報として「ありません」と伝えましょう。そしてiPhoneのQR読み取りならコレ!って決定版アプリもこれといって無いという。
高木先生が2005年に予測していたと記憶。 http://java-house.jp/~takagi/paper/marcusevans-phishing-2005-takagi-dist.pdf [java-house.jp] (但し今アクセス不可)
その後、2009年にフィッシング対策協議会がこの脅威を持ち出したものの、実は可能性に過ぎない話ではないかということを、同じく高木先生が指摘。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
誰かが指摘していましたが (スコア:4, 興味深い)
街の広告ポスターのQRコードに、上からシールはったら、簡単にマルウェア誘導できてしまいますよね。
Re:誰かが指摘していましたが (スコア:2)
QR コードを読み取ったときって一度 URL が表示されませんでしたっけ?
それとも私のガラケーだけの仕様なのかなぁ…
#短縮URLを用いた多段階であれば意味は無いでしょうけど
Re: (スコア:0)
URLが表示されたところで、それを見て一般人は判断できるのでしょうか。
仮に短縮URLが使われなかったとしても。
Re: (スコア:0)
その話をし始めると、QR コードは関係なくなっちゃいますよ。
Re:誰かが指摘していましたが (スコア:2)
あと、街頭配布等されているQRコード付ポケットティッシュも悪用される可能性がある、という記事を読んだ記憶があります。
Re:誰かが指摘していましたが (スコア:1)
もしかしたらそれが既に不正なデータだったりして。
Re: (スコア:0)
可能かどうかはわかりませんが、各読み取りリーダー間で不正なQRコードの共有を行ってほしいですね。
今のセキュリティソフト開発会社が特定のQRコードを指定で塞いで、リーダーもそれにならって警告またはアクセス遮断を行うという感じで。そうすると、毎日リーダーのアップデートをしないといけなくなりますが。
Re: (スコア:0)
QRコードリーダとブラウザの間にいれるだけで、
わざわざリーダのアップデートなんていらないでしょ?
ガラケーならやってたと思うけどなぁ。
セキュリティソフトを複数必要になるわけだし、意味わからん
Re: (スコア:0)
別にQRコードはURLを示すだけじゃないですよ。
そうだ!そうだ!Re:誰かが指摘していましたが (スコア:0)
Re: (スコア:0)
URLじゃないQRコードでどうやってマルウェア誘導すんの?
Re: (スコア:0)
空メールとか電話とか。
ユーザ数の多いQRリーダアプリの脆弱性をピンポイントで狙う、とかもあるかもしれないな。iPhoneデフォルトとかがあるなら、そういうのとか。
Re: (スコア:0)
tel:もmailto:もURLプロトコルだろ。まあ確かにブラウザとの間になにか入れるだけでは防げそうにないが。
Re: (スコア:0)
>iPhoneデフォルトとかがあるなら、そういうのとか。
とりあえずこれ、情報として「ありません」と伝えましょう。
そしてiPhoneのQR読み取りならコレ!って決定版アプリもこれといって無いという。
Re: (スコア:0)
高木先生が2005年に予測していたと記憶。
http://java-house.jp/~takagi/paper/marcusevans-phishing-2005-takagi-dist.pdf [java-house.jp] (但し今アクセス不可)
その後、2009年にフィッシング対策協議会がこの脅威を持ち出したものの、実は可能性に過ぎない話ではないかということを、同じく高木先生が指摘。