QRコードを撮影するだけで個人情報が詐取される!?

QRコード(筆者作成)

先日、読み取りづらいQRコードに遭遇したため、いくつかのQRコードリーダーを試していたところ「公式」を謳うQRコードリーダーが起動時に位置情報の取得を要求してくることに気づいた。位置情報を要求してくるのは、QRコードの特許及び商標を保有している株式会社デンソーウェーブと、アララ株式会社が共同開発している「公式QRコードリーダー "Q"」。

出典:「公式」QRコードリーダーを使うと読み取り時の位置情報がQRコード作成者に提供される【スラド】

先に筆者は、特定のURLに誘導するQRコードで、気付かないうちに別のURLに誘導できる「偽装QRコード(fake QR code)」を開発し、QRコードの脆弱性について、その注意喚起を行った。この偽装QRコードを使えば、通常、正常なサイトに誘導され、安心して使用していると、ある日突然、不正なフィッシングサイトに導かれ、個人情報やそのサイトを利用するパスワード等のアクセス情報を詐取されてしまうのである。このQRコードの問題の原点は、QRコード自体が人の目では正しいか否か判断できないことであり、QRコード自体の構造をほとんどの人が理解していないことにある。特にQRコードを作成する側が不正をはたらくことによって、偽装QRコードを有効に作用させることができる。

偽装QRコードと同様、QRコードを作成する側が何らかの仕組みをQRコードに取り入れることによって、QRコードの利用者が予期しない動作を行うことが考えられる。偽装QRコードはQRコードリーダーの開発元に関わらず、QRコードの利用者が予期しない動作を導く高度な手法であった。しかしながら、QRコードリーダーの開発元とQRコード自体の作成する側が手を組むことにより、利用者が予期しない動作を容易に起こすことができる。

上記のスラドの記事にあるように、株式会社デンソーウェーブと、アララ株式会社が共同開発している「公式QRコードリーダー "Q"」を利用して、公式QRコード作成サイトで作成したQRコードを読み込んだ場合、読み込んだ場所、それも緯度・経度からなるGPS情報が収集されてしまうのである。公式QRコードリーダー"Q"のアプリには、QRコード作成者に位置情報が送られることは記載されておらず、まさにスラドの『Webサイトへの訪問時であればログが残るのは当然のことであるが、QRコードを読み取っただけで、時刻や位置情報までもが、作成者に伝わるのはいかがなものだろうか?』との疑問は正しいであろう。

現金を用いないキャッシュレス決済の普及に向け、企業や業界を超えた取り組みが本格化してきた。スマートフォンで2次元バーコードを読み込むQRコード決済では、官民一体で規格統一を目指す。7月、経済産業省の呼び掛けで「キャッシュレス推進協議会」が設立された… 

出典:業界横断で脱現金化推進=QR決済普及へ規格統一-スマホ決済【時事通信社】

QRコードはキャッシュレス決済の有効な道具として注目されており、上記のような報道もある。今後、官民による協議会も立ち上げられる予定とも聞いている。QRコードの規格作りの際には、QRコード自体の脆弱性である視認による真贋判定の困難さの克服だけでなく、QRコードの作成側の不正、さらにQRコードを読み取る側のリーダーアプリの不正にも十分対処した規格作りが望まれる。

【追記】(2018年8月28日11:06) 現在、(公式)QRコード作成サイトでは、緯度経度情報の提供終了をアナウンスしている。