アカウント名:
パスワード:
>その手口は非常に簡単で、町中の看板やポスターなどに印刷されているQRコードの上に、誘導したいサイトの情報を入れたQRコードを貼り付けるだけ。
こんなの、似た偽URLのシールを貼っても有効だし、偽電話番号を貼っても同様じゃないか。QRコード独自の話じゃないだろう。
偽URLの場合は、URLを視認して怪しいと気づく可能性がありますけど、QRコードの場合はURLを全く意識しないでそのサイトにたどりついてしまうので、危険性が高いという意味で特にQRコードの脆弱性と言えなくもないでしょう。偽URL、偽電話番号その他の偽造シールにも注意しろというご警告はごもっともでございます。
電車の広告などで見かける携帯電話向けのURLには、「携帯電話の入力方法で打ち込みやすい文字列」としか思えない、組織名とはまったく関係のないドメインを使ってるものが結構あるので、もうURLだけでは繋がりを判断できないですよ。
特に、「なんたら@どこどこ~ まで空メールを」の類だと、URLでは全く区別できないのではないかと。
>もうURLだけでは繋がりを判断できない
正当性を判断する事は出来ませんが、ブラックリスト的な判断では有効性があると思います。とはいえ、正当性にしろ悪質性にしろ、URLだけで判断できる知識がある人ばかりじゃないし、趣味や仕事、専門にしている分野のURL以外で正当性の判断がつく人はそういないでしょう。
それでも、組織名とはまったく関係ない キーワードで検索させる [takagi-hiromitsu.jp]キャンペーンに比べると、主観的にURLをどう判断するかともかくURLそのものがすぐ下に印刷されているQRコードは、情報が固定されている意味では、どちらかといえばマシな部類じゃないかとも思ったりします。
たしかにQRコードはURL誘導のための技術じゃないからQRコードリーダーの実装に問題が。
URLが表示されてサイトに飛びますよ?(Y/N)と聞かれてもそのURLが正しいモノかどうかはまったく解らん。
えー、だってY押したのユーザーじゃん、おら知らねぇよと実装した中の人からの声が聞こえて
#きたら楽しいなあ、と。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
QRコードの問題か? (スコア:4, すばらしい洞察)
>その手口は非常に簡単で、町中の看板やポスターなどに印刷されているQRコードの上に、誘導したいサイトの情報を入れたQRコードを貼り付けるだけ。
こんなの、似た偽URLのシールを貼っても有効だし、偽電話番号を貼っても同様じゃないか。
QRコード独自の話じゃないだろう。
Re:QRコードの問題か? (スコア:1, 興味深い)
QRコードはそれが全く出来ないのがまずいって事じゃないのかな。
まあ、予測にも限界はあるけど。
Re:QRコードの問題か? (スコア:1, すばらしい洞察)
偽URLの場合は、URLを視認して怪しいと気づく可能性がありますけど、QRコードの場合はURLを全く意識しないでそのサイトにたどりついてしまうので、危険性が高いという意味で特にQRコードの脆弱性と言えなくもないでしょう。
偽URL、偽電話番号その他の偽造シールにも注意しろというご警告はごもっともでございます。
Re:QRコードの問題か? (スコア:1, 参考になる)
電車の広告などで見かける携帯電話向けのURLには、「携帯電話の入力方法で打ち込みやすい文字列」としか思えない、組織名とはまったく関係のないドメインを使ってるものが結構あるので、もうURLだけでは繋がりを判断できないですよ。
Re:QRコードの問題か? (スコア:1)
特に、「なんたら@どこどこ~ まで空メールを」の類だと、URLでは全く区別できないのではないかと。
1を聞いて0を知れ!
Re:組織名とはまったく関係のないドメインを使ってる (スコア:0)
>もうURLだけでは繋がりを判断できない
正当性を判断する事は出来ませんが、ブラックリスト的な判断では有効性があると思います。
とはいえ、正当性にしろ悪質性にしろ、URLだけで判断できる知識がある人ばかりじゃないし、
趣味や仕事、専門にしている分野のURL以外で正当性の判断がつく人はそういないでしょう。
それでも、組織名とはまったく関係ない キーワードで検索させる [takagi-hiromitsu.jp]キャンペーンに比べると、
主観的にURLをどう判断するかともかくURLそのものがすぐ下に印刷されているQRコードは、
情報が固定されている意味では、どちらかといえばマシな部類じゃないかとも思ったりします。
Re:QRコードの問題か? (スコア:1)
たしかにQRコードはURL誘導のための技術じゃないから
QRコードリーダーの実装に問題が。
URLが表示されてサイトに飛びますよ?(Y/N)と聞かれても
そのURLが正しいモノかどうかはまったく解らん。
えー、だってY押したのユーザーじゃん、おら知らねぇよと
実装した中の人からの声が聞こえて
#きたら楽しいなあ、と。
Re: (スコア:0)
第三弾「ジュースの自動販売機を使ったフィッシングに気をつけろ!」
以下、続々シリーズ化予定(笑)