SSL研究員が、気になったWeb記事を紹介、コメントします。
<引用元:Yahoo!ニュース>
気を付けろ!QRコードに脆弱性?その深刻さと騙されないための対策
https://news.yahoo.co.jp/byline/moriimasakatsu/20180624-00086884/
要約;
- QRコードの偽造によって、本来のURLではない、悪意のあるサイトへ飛ばされてしまうというケースがある。
- この偽造を、より巧妙に行うことができてしまう方法が神戸大学の研究チームによって発見された。
- 本来のQRコードをベースにしつつ、一部「読み取りにくい箇所」を追加すると、QRコード認識のエラー訂正機能がはたらき、本来のものとは別のサイトへユーザーを送り込むことができる。
- 完全な偽造QRと違って、ほとんどの場合は本来のサイトに飛び、エラー訂正機能の揺らぎによって、ごく一部の人だけが悪質なサイトに飛ぶ仕組みとなり、再現性が低いうえ、確認が難しいので問題の発覚が遅れる可能性が高い。
- ユーザー側は、とにかくQRを読み込んだ際に遷移したサイトが、本来たどりり付くべき「本物」であるかを、しっかり確認する必要がある。
SSL 安田コメント
QRコードによるサイトへの誘導の機能には、QRコードの印刷の劣化や光の反射による画像の撮影不良に対応するためエラー訂正処理機能が備わっています。しかし、エラー訂正処理を行った結果、正しいものに復元できた事を確認する機能はないのです。チェックサムやCRCといった誤り検出を行う仕組みがあると正誤がわかるのですが、QRコードではそれよりも簡便さを重視しているために、それがセキュリティ上の弱点となっています。
ただ、任意のサイトに任意の確率で誘導できるという部分は疑問が残るので、当ラボでも技術的な研究を行いたいですね。
SSL 池田コメント
QRコードはJIS化されており(JISX0510)、全仕様が公開されています。身近な存在であり、確かなものと思われているQRコードに、このような脆弱性があったとは驚きです。
任意のURLに改ざんするという事は困難と考えられますが、この例のQRコードの様に、URLの一部がaと読めたりoと読めるコードが作れる程度でも、悪質な用途が考えられるので心配です。
ユーザーが多くなると、設計エンジニアが開発当初考えもしなかったような用途、方法で使われ出し、セキュリティホールとなってしまう一例だと思います。