Yahoo!ニュース

『きまぐれQRコード』ができます!?【続報】気を付けろ!QRコードに脆弱性?

森井昌克神戸大学 名誉教授
気まぐれQRコード

この記事およびNHKでの2018年6月23日(土)午後6時のニュース映像の通りなのですが、開発者本人から説明し、その深刻さとどのように悪用されるのか、さらにQRコードを利用している一般の人がとるべき対策について解説します。

出典:気を付けろ!QRコードに脆弱性? その深刻さと騙されないための対策【YAHOO!JAPANニュース個人】

先週末、QRコードの新たな脆弱性について発表しました。簡単に言えば、正当なURLをもつサイトをA、そのフィッシングサイトのURLをBとすると、通常はAというサイトのURLを認識し、Aにアクセスするものの、千回に1回、あるいは一万回に1回程度、Bというフィッシングサイトに誘導されるQRコードを作成できるということです。わざわざ、このような手の込んだQRコードを作ることなく、フィッシングサイトに誘導するようなQRコードであれば簡単に作ることができます。フィッシングサイトのURLを表示するQRコードを正当なサイトAだと偽装すれば良いのです。しかし、この場合、一度でも注意深く正当なサイトAに誘導されるか試せば、そのQRコードがフィッシングサイトに誘導する偽装されたQRコードだということが判明します。我々が開発した方法でQRコードを構成すれば、偽装を見破ることが極めて難しいのです。注意深く試したとしても、フィッシングサイトに誘導されることはほとんどなく、見破られることはありません。

確かに見破られることはないかもしれないが、フィッシングサイトに誘導されることもないのではないかとの疑問もあります。しかし多くの人が頻繁にアクセスするサイトに偽装することによって、千人に一人、一万人に一人はフィッシングサイトに誘導され、数日の間に百万人の利用者があれば、数百人から数十人はフィッシングサイトに誘導され、そのうちの1%が騙されるとすると、数人程度が深刻な被害に遭う可能性があるのです。しかも再現性がありませんから、一度フィッシングサイトに誘導されたからと言って、再度アクセスすれば正当なサイトに誘導されることから気付く可能性はほとんどないのです。このようなQRコードを偽装QRコードと呼んでいます。

一部の人はNHKの映像で示された偽装QRコードの例を見て、QRコードの一部のセル(小さな正方形)の色が灰色になっていることに気付き、これが偽装コード構成の要であると思われているようです。しかし灰色にする必要はありません。灰色にしたのは演出であり、偽装ではなく常に正常なサイトを表示するQRコードと偽装QRコードを明確に区別するためです。決して灰色にするだけが構成方法ではありません。灰色ではなく、人の目ではなかなか見わけがつかないように作ることも可能です。

また、NHKの例では正常なサイトと仮に作った悪性サイト(フィッシングサイト)ではURLが一文字だけ異なっていましたが、これも本質ではなく、任意のURLと、それに関係のない任意のURLでも可能です。ここでも一文字だけ違っていたのは、演出の一部で、URLを表示さえても見分けにくいということと、その偽装QRコードの構成が簡単であることからです。

この偽装QRコードですが、必ずしもQRコードの欠点というわけではありません。確かに、フィッシングサイトに誘導するという目的では有効であり、その意味では脆弱性でしょう。しかし、千回に1回、一万回に一回という確率は制御できることから、2つのURLのどちらかに遷移することを積極的に利用すれば、宝くじや「ガチャ」に利用することが可能です。また、ほぼ等確率に二つのURLを記述することも可能なゆえ、一つのQRコードで二つのサイトに誘導することができ、たとえば負荷分散に利用することが可能です。さらに二つではなく、三つ四つ、それ以上のURLを組み込むことも理論上可能であることから、同一のQRコードで利用する人によって不規則に遷移するURLが変わり、「くじ」(おみくじ)等に利用することも可能です。

この偽装QRコードですが、上記のような使い方をする場合は「気まぐれQRコード(Whimsical QR code)」と呼んでいます。もし、この「気まぐれQRコード」に興味があり、事業化を目指して、神戸大学と共同研究、共同開発を希望する方は開発者である私に連絡いただければ幸いです。

神戸大学 名誉教授

1989年大阪大学大学院工学研究科博士後期課程通信工学専攻修了、工学博士。同年、京都工繊大助手、愛媛大助教授を経て、1995年徳島大工学部教授、2005年神戸大学大学院工学研究科教授(~2024年)。近畿大学情報学研究所サイバーセキュリティ部門部門長、客員教授。情報セキュリティ大学院大学客員教授。情報通信工学、特にサイバーセキュリティ、情報理論、暗号理論等の研究、教育に従事。内閣府等各種政府系委員会の座長、委員を歴任。2018年情報化促進貢献個人表彰経済産業大臣賞受賞。 2019年総務省情報通信功績賞受賞。2020年情報セキュリティ文化賞受賞。2024年総務大臣表彰。電子情報通信学会フェロー。

森井昌克の最近の記事