QR コードの脆弱性


■QR コードの脆弱性

Yahoo Japan に、QR コードの脆弱性に関する記事があった。https://news.yahoo.co.jp/byline/moriimasakatsu/20180624-00086884/

情報源は、WEP の解読法発表者の一人である、

神戸大学の森井教授。

暗号理論の研究のみならず、現実的なセキュリティに関する

各種研究もされている。

今回の内容は、QR コードに関するもの。

QR コードは、通常、単なる URL 情報として使われることが多い。

つまり、QR コードをスマホなどで読み取れば、

そこに情報として含まれている URL にアクセスする、

という形になる。

今回の発表では、この QR コードにおいて、

QR コード自体は不変なのに、

何度かアクセスするとこれまでと異なる URL にアクセスさせられる、

という QR コードを作れることを示した、ということのよう。

どうやって実現したんだろう?

QR コードの作り方自体を把握していないので、

全く想像もできないが、発想は非常に面白いように思える。



そもそも QR コードに関しては、利用自体に安全性上の問題を感じていた。

URL 情報が格納されている一方で、記号になっているので、

利用者側としてはどの URL に飛ばされるのか、が

一切わからないのである。

よって、悪意のあるサイトの URL を QR コードにしてしまえば、

利用者としてはそれが悪意のあるものかどうかを確認できないまま

アクセスしてしまうことになる。

また,URL とは異なり、

この QR コードは悪意のあるサイトにつなげられるものか?

などを簡単に調べることもできないだろう。

そう考えると、中国なんかでよく決済に使われているが、

悪用などバンバンされているのではないか?と危惧していた。

記事によれば、悪意のあるサイトの URL を QR コードにしてしまうと、

すぐにばれてしまうから、何度かに一回変わるほうが、

攻撃としては深刻だ、ということらしい。

何度かに一回変わる、というのも確かに脅威だし、

それまでは正規サイトにアクセスできている分、

確かに安心感は全然違うと思う。

が、QR コード自体は悪意のある不正サイトにしておき、

その不正サイトでどこか正規っぽいサイトにリダイレクトする、

みたいなことをしておけば、特に SSL 通信などでは

(証明書検証がパスできると)中間者攻撃ができるのではないか?

という気がする。

なので、今回の発表は発表で意味があると思うものの、

そもそも悪意ある行動がとれてしまう状況ではないか、と思う。

ということで、私は基本使わない。

が、上述のようなことが本当にできるのかどうか、

は実際に自分で試してみても面白そうだな。

セキュリティのネタにしてみるか。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ タグ: , パーマリンク