QRコードをむやみに撮影するな!? 危険なQRコードも。
先月末にQRコードを読み込ませようとする不審な行動が話題となりました。ただ、被害は報告されておらず、同じような不審な行動の報告が数件あるものの、数日も経たぬうちに話題から消えてしまいました。しかし、以前から指摘してますようにQRコードは一筋縄ではいかぬ、大きな危険性を帯びているのです。もちろん、その危険性を認めたうえで、その便利さ、有効性から大いに利用することを否めるものではありません。
QRコードを利用する多くが、URLを表示するだけ、あるいはwebサイトに導入するだけと意識していますが、QRコード決済に用いられているようにURLを含む、多種のデータの送信に持ちいることが可能なのです。
詳しい内容は上記の記事に譲るとして、簡単に言えば、QRコードにはいろいろな仕掛けを組み入れることが出来るということです。さらに上記の記事の様に、QRコードを読み込むリーダー(アプリ)と組めば、スマホを自在に操れると言っても過言ではありません。実際、街角でQRコードを読み取るように声がけされ、読み込んだ人が、許可なく、LINEの友達にされ、イベント等の勧誘が寄せられたと報告があります。イベント等の加入ではなく、悪意のあるサイトに誘導され、詐欺やマルウェア(コンピュータウイルス)に感染する可能性もあるのです。
現在では、アプリを入れることなく、スマホに標準搭載されているカメラでもQRコードを認識し、データを読むことが可能です。なにげなくカメラを向けただけで、QRコードを認識し、通常はURL(サイトのアドレス)を表示するだけで、タップしなければ、そのサイトに飛ぶことはありませんが、スマホの設定によってはタップすることなくサイトに移動することになります。また躊躇することもなくタップする人も多く、悪意のあるサイトに誘導されてしまうのです。また以下のよう記事のように、QRコードに仕掛けを施して、ある日突然に牙をむく、つまり今まで正常なサイトに誘導していた同じQRコードが突然悪意のあるサイトへ誘導し始める例もあります。
何に対してもですが、安全性と利便性はトレードオフ(反比例)の関係があります。便利であればあるほど、安全性を犠牲にしていることが多いのです。QRコードも、その便利さゆえに脆弱性を持っており、無条件に信頼しないことが必要なのです。
最近、我々、神戸大の研究グループは新たなQRコードの脆弱性を指摘しました。先月に開催された2021年コンピュータセキュリティシンポジウム(CSS2021)での以下の発表です。この詳細についての解説は稿を改めて行う予定です。
◎ 橋本 樹 (神戸大学), 村井 祐斗 (神戸大学), 西井 大智 (神戸大学), 中嶋 祥吾 (神戸大学), 白石 善明 (神戸大学), 森井 昌克 (神戸大学)