QRコードを利用した攻撃に注意 33
ストーリー by hylom
まずはURLをチェック 部門より
まずはURLをチェック 部門より
headless 曰く、
さまざまな場所で使われているQRコードだが、マルウェアの作者もQRコードの利用を始めているらしい(Dark Readingの記事、本家/.)。
QRコードは携帯電話のカメラでスキャンするだけでWebサイトを表示できるなどの手軽さが受けているが、目で見ただけではスキャン結果がわからないという問題がある。そのため、マルウェアをダウンロードさせたり、フィッシングサイトに誘導したりといった攻撃に使われる例があるのだという。QRコードによる支払いサービスが利用される可能性も指摘されている。
謎のQRコードを見かけると、ついスキャンしてみたくなる人も多いだろう。しかし、未知のQRコードをスキャンすると攻撃のターゲットになってしまう可能性もある。そのため、読み取り結果を確認してから操作を実行できるQRコードリーダーが推奨されるとのことだ。
短縮URLとの組み合わせ (スコア:5, 興味深い)
これ、短縮URLと組み合わせられると非常に面倒な事態になりそうですね。
読み取り結果を確認しても、短縮URLだとどこにつながれるかわからないという。
結果が短縮URLだったら、アクセスしないのが懸命ですね。
Re: (スコア:0)
>結果が短縮URL
どうやって事前に知るのでしょうか?
#本気でわからん。twitterとかではよく使うらしいが、そのような不潔なものは使いたくないから縁遠いし。
Re:短縮URLとの組み合わせ (スコア:2, 参考になる)
また、短縮サービスによっては、特定の文字列をURLに追加する事で
転送先を表示してくれるものもあります。
コメント者の日本語解釈について「へ?おかしくね?」 と思った Re:短縮URLとの組み合わせ (スコア:0)
http://security.srad.jp/comments.pl?sid=556179&cid=2075531
は
「QRコードを読む前にそのQRコードが意味するのが短縮URLだって判るわけないジャン!」
からきていると思うが、
http://security.srad.jp/comments.pl?sid=556179&cid=2075538
は既にQRコードを読み、その結果が短縮URLの場合に「どうするか」を言っている。
Re: (スコア:0)
>読み取り結果を確認しても
が読めないんですか?
テレパシーの前に日本語力を鍛えることをお勧めします。
そのあとマインドシーカーでもご利用ください。
Re: (スコア:0)
読み取り結果が表示されて、アクセスしますか的な選択肢が表示されるリーダーを使えってことでは?
その読み取り結果が短縮URLならアクセスを避ければいいかと
Re: (スコア:0)
短縮URL展開機能付きリーダーとか今後出るのかしら?
自分で作るのもありか。
まぁ、Twitterにしても、公式の短縮URL機能(ヘッダに元URLあり&Webでは展開状態で表示)が搭載されてから、
わざわざ外部の短縮URL機能を使う意味ってほぼなくなってますが。
Re: (スコア:0)
とりあえずTwitterはURLを問答無用でt.co使って圧縮するようになったのでクライアントはURLを短縮するのをやめてほしい(二重に短縮されてしまう)。
誰かが指摘していましたが (スコア:4, 興味深い)
街の広告ポスターのQRコードに、上からシールはったら、簡単にマルウェア誘導できてしまいますよね。
Re:誰かが指摘していましたが (スコア:2)
QR コードを読み取ったときって一度 URL が表示されませんでしたっけ?
それとも私のガラケーだけの仕様なのかなぁ…
#短縮URLを用いた多段階であれば意味は無いでしょうけど
Re: (スコア:0)
URLが表示されたところで、それを見て一般人は判断できるのでしょうか。
仮に短縮URLが使われなかったとしても。
Re: (スコア:0)
その話をし始めると、QR コードは関係なくなっちゃいますよ。
Re:誰かが指摘していましたが (スコア:2)
あと、街頭配布等されているQRコード付ポケットティッシュも悪用される可能性がある、という記事を読んだ記憶があります。
Re:誰かが指摘していましたが (スコア:1)
もしかしたらそれが既に不正なデータだったりして。
Re: (スコア:0)
可能かどうかはわかりませんが、各読み取りリーダー間で不正なQRコードの共有を行ってほしいですね。
今のセキュリティソフト開発会社が特定のQRコードを指定で塞いで、リーダーもそれにならって警告またはアクセス遮断を行うという感じで。そうすると、毎日リーダーのアップデートをしないといけなくなりますが。
Re: (スコア:0)
QRコードリーダとブラウザの間にいれるだけで、
わざわざリーダのアップデートなんていらないでしょ?
ガラケーならやってたと思うけどなぁ。
セキュリティソフトを複数必要になるわけだし、意味わからん
Re: (スコア:0)
別にQRコードはURLを示すだけじゃないですよ。
そうだ!そうだ!Re:誰かが指摘していましたが (スコア:0)
Re: (スコア:0)
URLじゃないQRコードでどうやってマルウェア誘導すんの?
Re: (スコア:0)
空メールとか電話とか。
ユーザ数の多いQRリーダアプリの脆弱性をピンポイントで狙う、とかもあるかもしれないな。iPhoneデフォルトとかがあるなら、そういうのとか。
Re: (スコア:0)
tel:もmailto:もURLプロトコルだろ。まあ確かにブラウザとの間になにか入れるだけでは防げそうにないが。
Re: (スコア:0)
>iPhoneデフォルトとかがあるなら、そういうのとか。
とりあえずこれ、情報として「ありません」と伝えましょう。
そしてiPhoneのQR読み取りならコレ!って決定版アプリもこれといって無いという。
Re: (スコア:0)
高木先生が2005年に予測していたと記憶。
http://java-house.jp/~takagi/paper/marcusevans-phishing-2005-takagi-dist.pdf [java-house.jp] (但し今アクセス不可)
その後、2009年にフィッシング対策協議会がこの脅威を持ち出したものの、実は可能性に過ぎない話ではないかということを、同じく高木先生が指摘。
いつか来た道 (スコア:2, 参考になる)
> そのため、読み取り結果を確認してから操作を実行できるQRコードリーダーが推奨されるとのことだ。
前に見た気がするぞと思ったら、これですね。
再掲:au携帯電話のバーコードリーダでジャンプ先URLが偽装される(2005年4月) [takagi-hiromitsu.jp]
QRコードが外国で使われてることに驚いた (スコア:1)
これも携帯のガラパゴス的機能のような気がしてました。
デンソーが開発したのでトヨタ系工場では世界規模で使われていそうだけど。
携帯で接写できない大きいQRコードってスキャンするの難しいですよね。
Re:QRコードが外国で使われてることに驚いた (スコア:1)
情報量が増えたケータイを台の上に置いたり三脚で固定すると良いようです。手軽と言う面からは段々離れていきますが。
Re: (スコア:0)
>携帯で接写できない大きいQRコードってスキャンするの難しいですよね。
どんな大きさなんだか。
離れて撮ればいいじゃん。
どちらかと言えば、小さすぎて認識しないサイズが最近多い。(1cm角ぐらい)
Re: (スコア:0)
http://www.atpress.ne.jp/view/5401 [atpress.ne.jp]
とか。
QRコードは接写するもの、という思い込みもどうかと思うが。
Re: (スコア:0)
ウチのガラケーだと、QRコードリーダーを選択した時にカメラレンズの切り替えSWを接写モードに切り替えるように指示されますが
ある程度より大きいQRコード、というか遠方から撮影する場合は通常モードで撮影した方が楽に認識できました。
年末年始のmixiでの出来事 (スコア:1)
そういえばmixiのコミュニティで、なんか妙にQRコード貼っているアレがいたんですが、やはりそちら方面だったんですかねー。
#あからさまに怪しかったのでQRコード解読とかはしてないですが
JOQR (スコア:0)
文化放送は攻撃に使えるのか・・・
Re: (スコア:0)
ぶつけたら結構痛いと思いますよ。
Re: (スコア:0)
変形して浜松町から飛び立つんですか