パスワードを忘れた? アカウント作成
6743812 story
セキュリティ

QRコードを物理的に乗っ取ってマルウェア配布に使う攻撃が増加 831

ストーリー by hylom
指先一つで感染さ 部門より
あるAnonymous Coward 曰く、

携帯電話を使ってスキャンするだけでウェブサイトに移動できるという手軽さで多用されているQRコードだが、これを利用した新たなマルウェア配布方法が増えてきたそうだ(Help Net Securitiy本家/.)。

QRコードを使った攻撃は以前からあったが(QRコードを利用した攻撃に注意QRコードを使ったフィッシングに気をつけろ!)、最近目立っているのが既存のQRコードの上に不正なQRコードを貼り付けることで不正サイトへ誘導するというもの。街の中心部や空港など人が多く集まる場所がターゲットとなっており、広告やその他お知らせなどに掲載されているQRコードに不正QRコードが貼付けられるケースが確認されているという。

QRコードだけから不正なものかどうかを見分けるのは難しく、スキャンしてしまった人を簡単にフィッシングサイトや悪意あるサイトのURLへ誘導することが可能とのこと。

身を守るには、開く前に安全なウェブサイトかを確認してくれるQRコードリーダーを利用するのが良いとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by jizou (5538) on 2012年12月13日 20時48分 (#2289924) 日記

    "開く前に安全なウェブサイトかを確認してくれるQRコードリーダー"
    がマルウェアだったり、正しいサイトを誤ってブロックしたりする... と。

    # リンク先のURLぐらい、確認しようよ。

    • Re:で... (スコア:4, 参考になる)

      by Yukie (45836) on 2012年12月13日 21時10分 (#2289933) 日記

      たとえばAndroidのスマフォだと、Google Playで検索して出るQRコードリーダーの大半は「ネットワークへのアクセス」と「個人情報の読み取り」「電話帳の読み取り」が必要だったりするんですよね。
      (インターネットアクセスは兎も角、後者は何に使うのやら、という感じです。)

      「今は」問題ないQRコードリーダーでも、いつマルウェアに化けるかと思うと怖くてなかなか使えないのですが……。

      親コメント
      • by Anonymous Coward on 2012年12月13日 21時18分 (#2289936)

        自分の連絡先をQRコードにして送信したり、QRコードから読み取った連絡先を保存したりする必要がありますからね

        親コメント
        • by Anonymous Coward on 2012年12月14日 11時03分 (#2290214)

          特定の1エントリだけ欲しいならIntent使えよと言いたい

          親コメント
        • by Anonymous Coward

          「ネットワークへのアクセス」と「電話帳の読み取り」のコンボは強力すぎて、
          両方付いたアプリはインストールする気がなくなりますね…

          • by meamcarrier (41359) on 2012年12月13日 22時34分 (#2289968)

            「安心な電話帳の読み取り」と「危険な電話帳の読み取り」って区分けして前者はいちいちアクセスする時に確認がくるようになってれば良いんじゃないかな。

            親コメント
            • by nankichi (16747) on 2012年12月14日 14時30分 (#2290356)

              ・アプリの評価で「いちいち確認してきてウザイので☆1つ」とコメント
              ・ガジェット系ブログで「危険な電話帳の読み取り」でのインストールを推奨する記事が投稿される
               当然末尾には「ただし自己責任で」を忘れない。

              みえる…みえるぞ…

              親コメント
      • QRコードリーダーなんて日本で販売しているAndroid携帯電話ならプリインストールされてるんじゃないの?

        プリインストールソフトならマルウェア化のリスクも避けられますし、セキュリティーリスクも低いでしょう。
        (もしプリインストールソフトでマルウェアだったらニュースに取り上げられるレベル)

        • by Anonymous Coward

          全てを調べた訳じゃないですが、「日本で販売している」ではなく「日本メーカーの」
          が一応の目安になるかな、と。

          海外メーカーだと、入っていない or Google Playにある(メーカー製ではない)
          ソフトがプリインされていることが多い、といった印象があります。

          • キャリアがDoCoMoの場合、"ICタグ・バーコードリーダー"(QRコードにも対応)がDoCoMoから提供されているが、プリインではなく、DoCoMoのサイトからダウンロードとなる。
            キャリアが必ずしも信用できるわけではないが、契約者なら個人情報を渡してしまっている。

            手持ちの端末はXPERIAだが、リーダーはプリインされていなかったと思う。ソニエリ時代の製品なので、海外メーカー扱いなのかも知れないが。

            親コメント
        • by Anonymous Coward
          そうじゃなくて、読み取るQRコードの側に細工されるという話ですよ。
          • by Anonymous Coward

            ストーリーの主題はそうだけど、コメントの主題はアプリの話

          • by Anonymous Coward

            1)「"開く前に安全なウェブサイトかを確認してくれるQRコードリーダー"」があるといいな
            2)Google Playで探してみよう。あれあれ。。。?

            あれ、という流れがマンマ書かれてるんだけど、そんなに読み取りづらい?

        • by Anonymous Coward

          読み取った内容をintentで一部のアプリには投げられるけど、単純なコピペが出来ないとか残念な仕様だったり。

      • by Anonymous Coward

        「ネットワークへのアクセス」のみのQRコードリーダーが開発されたが、実は遠隔操作ウィルス込みだったという時代が来るのですね。

        #可能性を否定しきれないところが怖い

    • by Anonymous Coward on 2012年12月13日 20時52分 (#2289926)

      URL確認してもbit.lyだったりするわけですよ

      親コメント
      • by jizou (5538) on 2012年12月13日 21時00分 (#2289928) 日記

        なるほど...
        "そういうところには、行かない" のが正解なんですけどね。

        親コメント
        • by Anonymous Coward

          自社媒体に乗せるアドレスに自社ドメイン以外の短縮URLを使っちゃダメですよ。信用問題ですからね。

          と、クライアント企業には口を酸っぱくして言っているのですが、
          まだまだ周知されていないようで、まことに申し訳ございません。

          • by jizou (5538) on 2012年12月14日 2時41分 (#2290071) 日記

            どれくらいの人が注意しているかわかりませんが、
            まっとうな会社の人には、短縮URLだった時点でアクセスしなくなる人がいることを
            知っていてもらえれば十分かと。

            親コメント
      • by Anonymous Coward

        短縮URLサービス提供側で、UAがスマホだったらリダイレクトじゃなくURLを見せる、
        くらいしてくれてもいいのにね。

        自前でどうにかするなら、通信内容書き換えるL7スイッチ(というかコンテンツ変換可能な
        Proxy)通すか、自動リダイレクト有無を選べるブラウザ使うくらいしかないですかね。
        後者の機能があるブラウザは、スマホ用があるのか知りませんけど。

        余談ですが、アンカー書かれてないメッセージボディを返してくる短縮URLサービスは
        どうにかして欲しいと思う。
        Apache標準機能にすら劣るのはどうなんだ、というね。

        せめてメッセージボディなしなら、自動リダイレクトoffにしておくと、自前でページ
        つくってくれるブラウザも多いのに。

  • へーw
    いろんなこと考えるなぁw
    笑いながら感心したw

  • by Anonymous Coward on 2012年12月13日 22時41分 (#2289974)

    「ここにシールなどが貼られていたらそれは偽物だから読み込むな」って。
    あるいはQRコードの部分をシールを貼れないように粉っぽくするとか。

  • by Anonymous Coward on 2012年12月14日 0時21分 (#2290028)

    OCRでURLを読めばいいじゃないか・・・。

    カメラのOCRの標準化って中々進まないよな。

    • by Anonymous Coward

      URLテキストが後から貼られたシールだったり・・・・

    • by Anonymous Coward

      OCRで読もうとしても、URL以外の周囲の文字も読んじゃったり、
      lと1と/と|、0とOとo が見分けつかなかったりとかして非常に難しい。
      URL は1文字でも間違えたら役に立たないから、問題が多いんだろうね。
      OCR専用のフォントを設計して精度を上げるてもあるけど、それでもQRコードに叶わないだろうしなあ。
      いま Google Goggles を久しぶりに使ってみたら、『lv1』を『M』と読みやがった

      • by Anonymous Coward on 2012年12月14日 3時29分 (#2290075)

        > いま Google Goggles を久しぶりに使ってみたら、『lv1』を『M』と読みやがった

        王子さまLv1が王子さまMになっちゃうな

        親コメント
        • by Anonymous Coward

          だいたいあって・・・る・・・?

      • by Anonymous Coward

        URL は1文字でも間違えたら役に立たないから、問題が多いんだろうね。

        役に立たないならまだいいです。
        1とlとIは読み間違えた場合の別ドメイン取得されると、OCRの責任にされてしまいます。


        s1ashdot.jp
        sIashdot.jp
        slashdot.jp

        #正解はどれ?

    • by Anonymous Coward

      ガラケーは、ほぼ標準でOCRアプリが付いてたよね

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...