パスワードを忘れた? アカウント作成
63562 story

QRコードを使ったフィッシングに気をつけろ! 62

ストーリー by soara
キャンペーンサイトです、と言われると騙されるかも 部門より

あるAnonymous Coward 曰く、

携帯電話にQRコードリーダー機能が搭載されるようになり、最近では色々なところで見かけるQRコードですが、これを悪用する事例があるようです(Web担当者Forumの記事)。

その手口は非常に簡単で、町中の看板やポスターなどに印刷されているQRコードの上に、誘導したいサイトの情報を入れたQRコードを貼り付けるだけ。知らずにユーザーがQRコードをスキャンすると、別のサイトに飛ばされる、という仕組みです。

いまのところ大きな被害はでていないのですが、たとえばキャンペーンサイトなどの場合、本物のサイトとそっくりなサイトを作って個人情報を収集する、といったことも十分考えられます。

タレコミ子もこのQRコードの危険性にはまったく気付かずに利用していましたが、リンク先URLについてはちゃんと確認しよう、と思いました。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • QRコードの問題か? (スコア:4, すばらしい洞察)

    by Anonymous Coward on 2009年02月21日 11時14分 (#1518175)

    >その手口は非常に簡単で、町中の看板やポスターなどに印刷されているQRコードの上に、誘導したいサイトの情報を入れたQRコードを貼り付けるだけ。

    こんなの、似た偽URLのシールを貼っても有効だし、偽電話番号を貼っても同様じゃないか。
    QRコード独自の話じゃないだろう。

    • by cactus (20557) on 2009年02月21日 11時56分 (#1518199)
      URLとか電話番号ならドメインやら頭の何桁かである程度は予測できるけど
      QRコードはそれが全く出来ないのがまずいって事じゃないのかな。
      まあ、予測にも限界はあるけど。
      親コメント
    • Re:QRコードの問題か? (スコア:1, すばらしい洞察)

      by kylin (17880) on 2009年02月21日 11時58分 (#1518202)

      こんなの、似た偽URLのシールを貼っても有効だし、偽電話番号を貼っても同様じゃないか。
      QRコード独自の話じゃないだろう。

      偽URLの場合は、URLを視認して怪しいと気づく可能性がありますけど、QRコードの場合はURLを全く意識しないでそのサイトにたどりついてしまうので、危険性が高いという意味で特にQRコードの脆弱性と言えなくもないでしょう。
      偽URL、偽電話番号その他の偽造シールにも注意しろというご警告はごもっともでございます。

      親コメント
      • by Anonymous Coward on 2009年02月21日 12時46分 (#1518225)

        電車の広告などで見かける携帯電話向けのURLには、「携帯電話の入力方法で打ち込みやすい文字列」としか思えない、組織名とはまったく関係のないドメインを使ってるものが結構あるので、もうURLだけでは繋がりを判断できないですよ。

        親コメント
    • たしかにQRコードはURL誘導のための技術じゃないから
      QRコードリーダーの実装に問題が。

      URLが表示されてサイトに飛びますよ?(Y/N)と聞かれても
      そのURLが正しいモノかどうかはまったく解らん。

      えー、だってY押したのユーザーじゃん、おら知らねぇよと
      実装した中の人からの声が聞こえて

      #きたら楽しいなあ、と。

      親コメント
  • 対策案 (スコア:2, すばらしい洞察)

    by masakun (31656) on 2009年02月21日 8時37分 (#1518127) ホームページ 日記

    サイト運営者としては、QRコードを表示してアクセスさせる場合には、URLも併せて表示しておくことです。QRコードを読み取った時に画面に表示される URLと同じかどうかユーザーが確認できるようにしておくことで、無関係のサイトに飛ばされるリスクが減少します。また、この効果を高めるためには、 URLをシンプルにすることが有効です。ドメイン名だけの短いURLなら、確認も容易になります。

    ドメイン名だけの短いURLを確認せよというのなら、URLを手入力させた方がよくないか?
    しかしそれでは typo の危険があるから、単に『ドメイン名だけの短いもの』ではなく視認性のよい文字列でかつ短い名のドメインURLにせよという方が気が利いていそう(この時点で手入力ではうざったい文字の羅列を気にせず入力できるQRコード唯一のメリットが失われそうだ)。または『信頼できそうな看板のQRコードか確認する』とか(w

    # QRコードは使ったことがないのでID

    --
    カルマ:たっぷり
    • Re:対策案 (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2009年02月21日 10時45分 (#1518160)
      大抵の携帯電話では、読み取ったURLを表示しているはずです。
      それにQRコードと一緒にURLも貼られたら意味がないと思いますが・・・

      まあ、町で拾ったモノには色々リスクがある、というだけじゃないでしょうか?
      親コメント
    • by nipo (34616) on 2009年02月21日 18時18分 (#1518384)

      QRコードをいちいちCAが認証するサービスを始めてみる。

      QRコードを作る→CAに登録する→QRコードの発行者の証明と無改変の証明→ポスターなどに記載→ユーザが見かける
      →QRコードの横にある認証用QRコードを読み取って、サイトに移動、QRコードの画像が表示され、同じものかを確認→ポスターのQRコードを読み取る

      なんちゃってwww

      親コメント
    • Re: (スコア:0, すばらしい洞察)

      by Anonymous Coward

      QRコードがそもそもURLの文字列を見ない様な奴をサイトに誘導するための仕組みなんだから
      そんな確認を推奨しても実効性は甚だ疑わしいですが

      まあそれでも問題が生じた時にする言い訳の材料にはなるかもしれません

      • by Anonymous Coward

        URLを見るけど打ち込みたくないという可能性は?
        何を言っているかわからないならたぶんPCしかお使いになったことがないのでしょう。一度やってみればすぐに理解できます。
        車内広告からURLが消えて(予測入力の効く)日本語の検索ワードを入力させる方式ばかりになったのも同じ理由です。

      • by Anonymous Coward
        広告の効果が高い層がアクセスするのを防ぐには、携帯側でOCRと組み合わせて、「URL表示がありません」とか「QRコードが表示とは別のURLにアクセスしようとしています」とか確認させるのでしょうか。
        それでも、誤認識しやすい文字を使って別のサイトに誘導しようとする可能性はありますが。

        #程度の問題とはいえ、「空メールを~」というのも、メアドを「振り込んでる」と解釈できますよね。
  • by 127.0.0.1 (33105) on 2009年02月22日 12時12分 (#1518557) 日記
    シール詐欺対策としてある程度有効と考えられる方法がある。

    それはQRコードの部分を特大にすることだ!!
    でかいシール作って貼るコストを考えると、ちょっと手を出しにくいだろう。
    1m×1mのシールなんて誰が作ると思う?
  • 携帯電話のブラウザの場合,オレオレ証明書は例外的に出会っても受け付けないものが多いようなので,携帯サイトにこそサイト証明書は大切なのかも,と思いました.しかし携帯電話のブラウザにおいてHTTPSで接続しているかどうかがあまり目立つようにインジケートされていないようにも感じます.

    自分が使ったことのある数台の携帯電話についてたブラウザだけがサンプルなので,「ようなので」とか「感じます」の域を出ません.

    --
    屍体メモ [windy.cx]
    • by Anonymous Coward on 2009年02月21日 11時07分 (#1518171)

      携帯で使えるオレオレじゃない証明書が $100/年以下で買えてしまうのに、オレオレ証明書を使う意味はないですよね。
      で、証明書があったところで、アクセスして毎回証明書の内容を目で見て通信相手が信頼できるか確認、なんてしないので、今回の件の対策にはならないです。

      (ちなみに$100以下で買える証明書は3G端末のみサポートしてますが、それでケータイWebユーザの9割以上を対象にできるので十分でしょう)

      >しかし携帯電話のブラウザにおいてHTTPSで接続しているかどうかがあまり目立つようにインジケートされていないようにも感じます.

      「SSL通信を開始します」とかめちゃくちゃウザい(大半の人には意味が分からない)ダイアログが出ますよ。

      親コメント
    • Cookie認証がどうとかいう言葉を聞いたことがあるので、かなり不安…

      親コメント
    • by Anonymous Coward on 2009年02月21日 11時35分 (#1518185)

      これはQRコードによる初回アクセスの話なので、SSLにすれば良いという話ではないでしょう。
      https://www.rcis.aist.go.jp/special/websafety2007/ [aist.go.jp]
      の「(A) 初めて訪れたサイトの場合」にある通りのことが必要になるわけですが、携帯のUIが貧弱なので、確認は難しいでしょうね。
      操作の煩雑さは増しますが、iモードメニューなどからたどる方が余程安心できると思います。

      親コメント
    • by Anonymous Coward on 2009年02月21日 11時38分 (#1518187)

      証明書の第一の役割は、アクセスしようとした URL のサイトに正しく接続できたかどうかを担保することであって、
      最初から誤った URL へ誘導される今回のような件には効果が半減しませんか?
      もちろん証明書の内容を検証すれば良いのですが、そういう習慣はまったく広まっていませんし、
      検証しようにもサイトの持ち主の名前ではなく、運営を委託された業者のものになっていることもしばしばです。
      この辺の事情は PC においても全く同じことがいえますが。

      親コメント
    • by Anonymous Coward on 2009年02月21日 23時29分 (#1518464)

      手元の端末(NetFront搭載のソフトバンク機種)では最初に「ここからのページは高度なセキュリティで保護されます」というメッセージボックスが表示されて、パケット通信中のアイコンに鍵マークが常時表示されます。

      2Gの頃は確かにあまりハッキリと明示されていなかったような記憶がありますが、現在はパソコンと大差なくなってますね。

      親コメント
  • と書かないといけないってことはないのですか?

    QRコードについて [denso-wave.com]の、「QRコードの知的財産権について」より、

    Q. QRコードの使用料は必要ですか?
    A.

    JIS規格やISO規格に制定されているQRコードの使用に対するライセンス等は必要なく、誰でもご自由にお使い頂けます。

    なお、「QRコード」という名称は、デンソーウェーブの登録商標です。出版物やホームページなどに、「QRコード」という言葉を使用される場合、「QRコードは(株)デンソーウェーブの登録商標です」という一文(以下、登録商標文)を記載いただいております。
    登録商標は「QRコード」という名称のみであり、QRコードパターン(イメージ)は登録商標ではありません。

    (強調は俺が勝手に)

    ということで、QRコード自体をプリントしてるかどうかには触れておらず、QRコードという言葉に対して課せられているようなのですが。
    そもそもこんなの無効ですか?
    ファミレスの店内でも何かのチラシでも、「QRコードを云々かんぬん・・・」って書いてる印刷物に
    「QRコードは(株)デンソーウェーブの登録商標です」って書いてるのは少ないようですし。

    # ここはホームページじゃねぇって議論は別の話として・・・

  • 不正アクセスによるサイトの書き換えの際、QRコードだけを書き換えて偽サイトに誘導するような事例はどうだろう。
    アンチウイルスでは検出できない(QRのデコードをしてURLをチェックする機能の実装は可能だけど)は働かないし、
    サイト運営者がログチェックなどで見落とせばシールと同様の効果が得られるかも知れない。

  • by Anonymous Coward on 2009年02月21日 10時55分 (#1518166)
    高木先生が予測してましたね。

    http://java-house.jp/~takagi/paper/marcusevans-phishing-2005-takagi-dist.pdf

    ↑の最後のページ。
    • 2005~2007年頃 (スコア:4, 参考になる)

      by maia (16220) on 2009年02月21日 12時10分 (#1518208) 日記

      高木氏のプレゼンPDFは後日配布版2005年4月とありますが(PDFの日付は2006年3月)、ちなみにタレこみの元ネタは2007年8月の雑誌記事をWebに再録したもの。あと、後者の結論は分かりやすいURLがいいというもので、それには日本語ドメインがいいね、というのがちょっと...

      検索してて気づいたが、QRコードの偽装の手口にこんなものがあったんですね(今は解決済みのはずだが)。

      バーコード (2次元コード) リーダーご利用にあたっての注意点 2005年4月14日 [kddi.com]

      この件に関する高木氏の詳しい解説>高木浩光@自宅の日記 [takagi-hiromitsu.jp](元は2005年4月)

      検索してると、QRコードでフィッシング対策という記事が引っかかるのが、ちょっと微妙...

      --
      #説明責任はないです
      親コメント
  • by Anonymous Coward on 2009年02月21日 11時26分 (#1518181)
    おふとぴになるんだけど、QRコードしか書いてない広告、PCサイトありますよね。

    QR認識機能のない携帯からだと、困るんですよね。付いてるのが普通、みたいな扱いなんですかね。付いてない携帯も結構多いと思うんですけど。

    携帯のアドレスへ送る機能(Mailto~の中身ね)や、PCのサイトURLから推測して試行錯誤してたどり着くんですが、時間も金もかかるし分からない場合もかなり。

    で、WILLCOMだと更にはねられたり。orz

    • by leftwing (37789) on 2009年02月21日 13時27分 (#1518261) 日記

      QRコードしか書いてない広告などがよろしくないことには
      賛同します。しかし、今は

      • フルキーボード付きでない
      • カメラ付き
      • Webにアクセスできる
      • QRコードを読み込めない

      という携帯を売っていないと思われます。

      便利だから、キーボードがあろうとなかろうと、
      QRコードリーダーは付けてほしいとも思いますけどね。

      親コメント
    • by Anonymous Coward
      そんな携帯ユーザー相手にしてないんじゃ
    • by Anonymous Coward

      1 デジカメで撮影してパソコンに取り込んでデコードする
      2 脳内デコード
      3 広告の文言でぐぐる
      4 そんな広告無視する

    • by Anonymous Coward

      > 付いてるのが普通、みたいな扱いなんですかね。

      1年前のデータですが、9 割ぐらい普及 [kanko-sp.co.jp]してれば普通と言えませんかね。

    • by Anonymous Coward

      > で、WILLCOMだと更にはねられたり。orz

      WILLCOMは携帯じゃないからね。PHS。
      オレもWILLCOMユーザだけど、別に自虐的な意味じゃなく、似て非なるものだと割り切れる人でないと使えない。

  • by Anonymous Coward on 2009年02月21日 20時43分 (#1518421)
    元記事にある日本語ドメインのフィッシングに対する有効性の話なし。
typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...