パスワードを忘れた? アカウント作成
1170196 story
携帯電話

QRコードを利用した攻撃に注意 33

ストーリー by hylom
まずはURLをチェック 部門より
headless 曰く、

さまざまな場所で使われているQRコードだが、マルウェアの作者もQRコードの利用を始めているらしい(Dark Readingの記事本家/.)。

QRコードは携帯電話のカメラでスキャンするだけでWebサイトを表示できるなどの手軽さが受けているが、目で見ただけではスキャン結果がわからないという問題がある。そのため、マルウェアをダウンロードさせたり、フィッシングサイトに誘導したりといった攻撃に使われる例があるのだという。QRコードによる支払いサービスが利用される可能性も指摘されている。

謎のQRコードを見かけると、ついスキャンしてみたくなる人も多いだろう。しかし、未知のQRコードをスキャンすると攻撃のターゲットになってしまう可能性もある。そのため、読み取り結果を確認してから操作を実行できるQRコードリーダーが推奨されるとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by fall-ken (14537) on 2012年01月03日 15時51分 (#2075504) 日記

    これ、短縮URLと組み合わせられると非常に面倒な事態になりそうですね。
    読み取り結果を確認しても、短縮URLだとどこにつながれるかわからないという。
    結果が短縮URLだったら、アクセスしないのが懸命ですね。

    • by Anonymous Coward

      >結果が短縮URL

      どうやって事前に知るのでしょうか?
      #本気でわからん。twitterとかではよく使うらしいが、そのような不潔なものは使いたくないから縁遠いし。

      • by Anonymous Coward on 2012年01月03日 18時06分 (#2075538)
        短縮URLを展開するサービスというのが多数あります。
        また、短縮サービスによっては、特定の文字列をURLに追加する事で
        転送先を表示してくれるものもあります。
        親コメント
        • QRコードが「何をあらわしいいるのか」、読み取らないと読み取り結果が判らないのに、読み取る前に読み取り結果が短縮URLと判るなんて事があるのかな?読み取った後、それが短縮URLならば、仰せの通り「短縮URL展開サービス」を利用すれば良いのだ受けれど。

          http://security.srad.jp/comments.pl?sid=556179&cid=2075531

          「QRコードを読む前にそのQRコードが意味するのが短縮URLだって判るわけないジャン!」
          からきていると思うが、
          http://security.srad.jp/comments.pl?sid=556179&cid=2075538
          は既にQRコードを読み、その結果が短縮URLの場合に「どうするか」を言っている。
          • by Anonymous Coward

            >読み取り結果を確認しても
            が読めないんですか?

            テレパシーの前に日本語力を鍛えることをお勧めします。
            そのあとマインドシーカーでもご利用ください。

      • by Anonymous Coward

        読み取り結果が表示されて、アクセスしますか的な選択肢が表示されるリーダーを使えってことでは?
        その読み取り結果が短縮URLならアクセスを避ければいいかと

    • by Anonymous Coward

      短縮URL展開機能付きリーダーとか今後出るのかしら?
      自分で作るのもありか。

      まぁ、Twitterにしても、公式の短縮URL機能(ヘッダに元URLあり&Webでは展開状態で表示)が搭載されてから、
      わざわざ外部の短縮URL機能を使う意味ってほぼなくなってますが。

    • by Anonymous Coward

      とりあえずTwitterはURLを問答無用でt.co使って圧縮するようになったのでクライアントはURLを短縮するのをやめてほしい(二重に短縮されてしまう)。

  • by morimon (23732) on 2012年01月03日 16時04分 (#2075509) ホームページ

    街の広告ポスターのQRコードに、上からシールはったら、簡単にマルウェア誘導できてしまいますよね。

    • QR コードを読み取ったときって一度 URL が表示されませんでしたっけ?
      それとも私のガラケーだけの仕様なのかなぁ…

      #短縮URLを用いた多段階であれば意味は無いでしょうけど

      親コメント
      • by Anonymous Coward

        URLが表示されたところで、それを見て一般人は判断できるのでしょうか。

        仮に短縮URLが使われなかったとしても。

        • by Anonymous Coward

          その話をし始めると、QR コードは関係なくなっちゃいますよ。

    • あと、街頭配布等されているQRコード付ポケットティッシュも悪用される可能性がある、という記事を読んだ記憶があります。

      親コメント
    • by Anonymous Coward on 2012年01月03日 16時47分 (#2075518)
      印刷ミスの修正なんでしょうけど、元のQRコードの印刷の上かにシールを貼って訂正しているポスターをたまに見かけます。
      もしかしたらそれが既に不正なデータだったりして。
      親コメント
    • by Anonymous Coward

      可能かどうかはわかりませんが、各読み取りリーダー間で不正なQRコードの共有を行ってほしいですね。
      今のセキュリティソフト開発会社が特定のQRコードを指定で塞いで、リーダーもそれにならって警告またはアクセス遮断を行うという感じで。そうすると、毎日リーダーのアップデートをしないといけなくなりますが。

      • by Anonymous Coward

        QRコードリーダとブラウザの間にいれるだけで、
        わざわざリーダのアップデートなんていらないでしょ?
        ガラケーならやってたと思うけどなぁ。

        セキュリティソフトを複数必要になるわけだし、意味わからん

        • by Anonymous Coward

          別にQRコードはURLを示すだけじゃないですよ。

          • まったくその通りなのだが、URLだけに終始しているコメントが多いねぇ。
            • by Anonymous Coward

              URLじゃないQRコードでどうやってマルウェア誘導すんの?

              • by Anonymous Coward

                空メールとか電話とか。
                ユーザ数の多いQRリーダアプリの脆弱性をピンポイントで狙う、とかもあるかもしれないな。iPhoneデフォルトとかがあるなら、そういうのとか。

              • by Anonymous Coward

                tel:もmailto:もURLプロトコルだろ。まあ確かにブラウザとの間になにか入れるだけでは防げそうにないが。

              • by Anonymous Coward

                >iPhoneデフォルトとかがあるなら、そういうのとか。
                とりあえずこれ、情報として「ありません」と伝えましょう。
                そしてiPhoneのQR読み取りならコレ!って決定版アプリもこれといって無いという。

    • by Anonymous Coward

      高木先生が2005年に予測していたと記憶。
      http://java-house.jp/~takagi/paper/marcusevans-phishing-2005-takagi-dist.pdf [java-house.jp] (但し今アクセス不可)

      その後、2009年にフィッシング対策協議会がこの脅威を持ち出したものの、実は可能性に過ぎない話ではないかということを、同じく高木先生が指摘。

  • いつか来た道 (スコア:2, 参考になる)

    by Anonymous Coward on 2012年01月03日 18時12分 (#2075540)

    > そのため、読み取り結果を確認してから操作を実行できるQRコードリーダーが推奨されるとのことだ。

    前に見た気がするぞと思ったら、これですね。

    再掲:au携帯電話のバーコードリーダでジャンプ先URLが偽装される(2005年4月) [takagi-hiromitsu.jp]

  • by Anonymous Coward on 2012年01月03日 19時22分 (#2075558)

    これも携帯のガラパゴス的機能のような気がしてました。
    デンソーが開発したのでトヨタ系工場では世界規模で使われていそうだけど。

    携帯で接写できない大きいQRコードってスキャンするの難しいですよね。

    • ケータイで打つのが苦手なのでPCで文章作成→QRコード→読み取り→メール送信してます。
      情報量が増えたケータイを台の上に置いたり三脚で固定すると良いようです。手軽と言う面からは段々離れていきますが。
      親コメント
    • by Anonymous Coward

      >携帯で接写できない大きいQRコードってスキャンするの難しいですよね。

      どんな大きさなんだか。
      離れて撮ればいいじゃん。
      どちらかと言えば、小さすぎて認識しないサイズが最近多い。(1cm角ぐらい)

    • by Anonymous Coward

      ウチのガラケーだと、QRコードリーダーを選択した時にカメラレンズの切り替えSWを接写モードに切り替えるように指示されますが
      ある程度より大きいQRコード、というか遠方から撮影する場合は通常モードで撮影した方が楽に認識できました。

  • そういえばmixiのコミュニティで、なんか妙にQRコード貼っているアレがいたんですが、やはりそちら方面だったんですかねー。
    #あからさまに怪しかったのでQRコード解読とかはしてないですが

  • by Anonymous Coward on 2012年01月03日 16時24分 (#2075512)

    文化放送は攻撃に使えるのか・・・

    • by Anonymous Coward

      ぶつけたら結構痛いと思いますよ。

    • by Anonymous Coward

      変形して浜松町から飛び立つんですか

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...