インドのバス運行会社大手のShuttl(シャトル 以下、Shuttl)社が、中・長距離バスアプリサービスの乗車認証システムに音通信による認証システムを導入しました。乗車認証にはQRコードが採用されることが一般的です。Shuttlが音通信による認証を採用した背景には、QRコードのセキュリティ上の脆弱性が関係しているようです。
ShuttlとLISNRが提携
インドのバス運行大手のShuttlは、中・長距離バスアプリサービス「Shuttl(シャトル)」を展開するスタートアップ企業です。交通渋滞や大気汚染が深刻なインドにおいて、バスアプリサービス「Shuttl」の普及が交通渋滞や大気汚染緩和に寄与することを期待し、豊田通商が600万米ドルを出資する注目のベンチャーです。
そのShuttlが、本アプリの乗車認証に、超音波による非接触型近接認証システムを提供するLISNR(リスナー 以下、LISNR)社の音認証システムの採用を決めました。LISNRのテクノロジーは、スピーカーからSmart Toneと呼ばれるデータを音声波形化した(98%の人には聞こえない高い周波数で発せられる)通信プロトコルを活用し、スマートフォンなどのマイクを備えたデバイスへ送るというもの。受け手のデバイスはSmart Toneを音として受け取ってからデータに戻して処理します。
Shuttlは、インドやその他の国の9都市で、1,300台以上のバスと350以上の路線を運行。同社による音通信の認証システムの導入により、経済のあらゆる分野の認証システムにおいて、音通信の活用がさらに加速することが期待されています。LISNRによると、過去数か月の間に同社の音認証システムへの問い合わせや導入が相次いでいるとのこと。
これまでの乗車認証システムは、QRコードが一般的でした。なぜ今、音通信の認証システムに注目が集まっているのでしょうか。その背景にはあるのはQRコードのセキュリティ面での脆弱性への懸念です。
以下では、Ivanti社とマカフィー社によるQRコードのセキュリティ面での脆弱性を指摘するレポートを紹介します。
コロナ時代、QR活用が増えている
Ivantiは2021年2月、QRコードの使用状況に関する調査を実施しました。調査対象は北米・英・ドイツ・フランス・日本・中国の約4100人。調査によると回答者の57%が過去1年でQRコードの使用が増えたと回答しました。
マカフィーの「2021年 脅威予測レポート」でも、消費者のQRコードの使用状況に関する調査を紹介。回答者の半数以上である54%がコロナウイルスの拡大を機に、QRの活用が増えたと回答しました。
ユーザーの多くがレストランやバー、小売店では非接触型のQRを使用するのが、コロナへの感染を防ぐために「最も安全」と感じているようです。一方、Ivantiはコロナ下におけるQRコードの広がりについて「ハッカーたちに新しい機会を与えている」と警鐘を鳴らします。どういうことでしょうか。
QRコードへの理解不足が招く危険
マカフィーはレポート内で、ユーザーは「悪意のあるQRコードを識別できる」のか、という調査結果も報告しています。レポートによると「識別できる」と回答したのはわずか37%に留まっています。これは「悪意のあるURLを識別できる」(67%)よりも大きく下回っています。また、
「QRコードが支払いを行ったり、ユーザーにソーシャルメディアで誰かをフォローさせたり(22%)、電話をかけたり(21%)できることを認識しているのは3分の1未満(31%)です。回答者の4分の1は、予期しないこと(疑わしいWebサイトに移動するなど)を行ったQRコードをスキャンしたことを認め、16%は、QRコードが実際に意図したとおりに機能したかどうかわからないと認めました」(同レポート)
との報告もあります。レポートはこういった消費者のQRコードへの知識不足がサイバー犯罪者たちに付け入るスキを与えていると指摘します。具体的な被害の流れとしては、
・被害者は不正なQRをスキャン
・悪意のあるWebサイトに誘導される
・ログイン、個人情報、ユーザー名とパスワード、および支払い情報の提供を求められる
・犯罪者はそれを盗む
といったことが想定されます。また、ビジネスオーナーがQRコードを生成する際に、発生する可能性がある犯罪についても注意を呼びかけます。
「ビジネスオーナーがQRコードを生成するアプリをダウンロードしようとすることを予測し、悪意のある犯罪者は、そのアプリと同じ動きをする偽の悪意あるアプリをダウンロードするように誘導します。しかし誘導されるアプリはコードを生成する代わりに、所有者のデータを盗み、詐欺師がさまざまな不正目的に使用する可能性があります」(同レポート)
QRコードはコードをスキャンするだけの手軽さや内臓可能な情報量の多さから急速に拡大してきました。一方、拡大の速度にユーザーの理解が追い付いていない側面があり、そこを犯罪者たちが狙っています。
各種モバイルソリューションの普及にともない、その認証技術においては「利便性、コスト、そして安全性」という3つの要素をどうバランスするかが重要になっていきそうです
出典
・豊田通商株式会社のリリース
https://www.toyota-tsusho.com/press/detail/191125_004510.html
・『マカフィー 2021年の脅威予測レポート』
https://blogs.mcafee.jp/2021-threat-predictions-report#5QshingCOVIDQR
・Ivantiのレポート
https://www.ivanti.com/resources/v/doc/white-papers/ivi-2554-qr-code-survey-report-q2-2021
・LISNR社のリリース
https://lisnr.com/company/newsroom/shuttl-launches-ultrasonic-boarding-solution-with-lisnr/