米連邦取引委員会、QRコードを悪用して個人情報を盗み出す企みに注意喚起 7
ストーリー by nagazou
注意 部門より
注意 部門より
headless 曰く、
米連邦取引委員会 (FTC) が QR コードを悪用した攻撃について注意喚起している (消費者向け注意喚起、 The Verge の記事、 Ars Technica の記事)。
米国では QR コードがもともと使われていないパーキングメーターに QR コードステッカーを貼り付けて偽の支払いサイトに誘導する攻撃が確認されているほか、正規の QR コードに偽の QR コードを上貼りする攻撃も確認されている。米連邦捜査局 (FBI) もたびたび注意喚起しているが、今回の FTC の注意喚起はテキストメッセージや電子メールで送った QR コードで偽サイトに誘導し、個人情報を窃取する攻撃に焦点を当てたものになっている。
QR コードを悪用して偽サイトに誘導する虚偽のメッセージとしては、「配達できなかった荷物があるので連絡が必要」「アカウントに問題が発生し、個人情報の確認が必要」「アカウントで不審な活動が確認され、パスワード変更が必要」といった例を挙げ、詐欺師の QR コードから自身を守る方法としては以下のようなものを挙げている。
- 予期せぬ場所にある QR コードはリンク先を開く前に URL を確認する
ミススペルや文字順の入れ替えなど正規 URL に似せた URL に注意- 予期せぬ電子メールやテキストメッセージに添付された QR コードをスキャンしない。特に緊急性を強調したものに注意
本物だと思われる場合は電話番号やウェブサイトなど、自分が知っている方法で連絡を試みる- スマートフォンとオンラインアカウントを保護する
スマートフォンの OS をアップデートする。オンラインアカウントのパスワードを強固なものにし、多要素認証を有効化する
どう対策すればよいのだろう (スコア:0)
企業のトップページとか数階層下くらいのページなら、「URL手打ちとか検索して見る」という手段がとれる。
でも俺だけののための特定のURL(多分数十文字のランダムな文字列入り)なんて、もはやQR信じて飛ぶしかないじゃないか。
URLを目確認なんて「有能なら大丈夫な対策」は、むしろ被害を増やす方向にしか働かないだろうし。
まぁ、飛んだ先でパスワードマネージャが動作しないときに、わざわざパスワード打ち込むかと言われれば、怪しすぎてそんなことはしないだろうが。
Re:どう対策すればよいのだろう (スコア:1)
せめて接続先ドメインだけでもわかりやすく表示してくれるQRリーダがあれば良さそうな
それが圧縮URLだったら拒否
Re:どう対策すればよいのだろう (スコア:2)
リンク先保証付きの短縮URL提供ドメインを作るのはどうか
「保証」って言っちゃうと難しいんかな?
Re: (スコア:0)
データの正当性を保証するためにURLに電子署名を付けるとか。
QRコードの適格性診断が必要不可欠になるな…。 (スコア:0)
コメントのとおり…。
実際に、インターネットサービスが複雑化してきている中、
個人情報抜き取りやあれやこれやとなどを防ぐには、
国の認証を取れないサイトは、インターネットから排除されるようにする必要がある。
#暴論だと理解しながらも、あえて暴論を展開する。
#そこにしびれる、憧れる!
Re: (スコア:0)
と発言した人が認証取れないオチになると
Re: (スコア:0)
中国のICP番号みたいなのはスパムや偽サイト対策に全くなってないので、意味ないよ