100メートル先からQRコードにレーザーを当て偽物にする攻撃 27
ストーリー by nagazou
スナイパー能力も求められる 部門より
スナイパー能力も求められる 部門より
東海大学の研究者らが行った新たな研究によれば、最大100メートル離れた場所からQRコードに不可視光レーザーを照射することで、偽装QRコードを作成、悪性サイトへの誘導する攻撃が可能であることが分かった。この攻撃は、肉眼では見えないレーザー光を使用し、QRコードを書き換えることにより、悪性サイトへのURLを表示させ誘導するというもの(ITmedia)。
今回の研究では、10~100メートルの距離からレーザーを照射するテストを実施。100メートル距離の実験では、50メートル地点に鏡を設置し、レーザー光を折り返して照射した。使用されたレーザー光の波長は、635nmと785nmの2種類。QRコードを通常通り読み込むとURL1(正規サイト)にアクセスし、攻撃が成功するとURL2(悪性サイト)に誘導される。
実験の結果、635nmと785nmの波長で、10メートル、20メートル、30メートル、40メートルの距離ではURL2が読み込まれた。しかし、50と100メートルの距離では、URL1とURL2が交互に読み込まれたとしている。
今回の研究では、10~100メートルの距離からレーザーを照射するテストを実施。100メートル距離の実験では、50メートル地点に鏡を設置し、レーザー光を折り返して照射した。使用されたレーザー光の波長は、635nmと785nmの2種類。QRコードを通常通り読み込むとURL1(正規サイト)にアクセスし、攻撃が成功するとURL2(悪性サイト)に誘導される。
実験の結果、635nmと785nmの波長で、10メートル、20メートル、30メートル、40メートルの距離ではURL2が読み込まれた。しかし、50と100メートルの距離では、URL1とURL2が交互に読み込まれたとしている。
URLを開く前に検証するしかないんじゃない? (スコア:1)
組み込みブラウザがURLを開く前にURLの先の情報(ドメインとかSSL証明書とか)を見てあやしければ警告するなりして開かせないようにするしかない気がする。
今の技術なら、証明書とあわせてフィッシングサイトの特徴を学習する、で十分精度出ると思うんだよね。
QRコードを発行する側が、ちゃんと証明書とって信頼度の高いドメイン使うなりして信頼性の高いURLを用意するという前提で、それをサボるようなら容赦なくブロックすれば良い。
SMSとかから飛んでくる奴でもこれで防御できるし、QR読み取り側でどうにかするより技術的には楽なのでは。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re: (スコア:0)
誤判定が大量発生しそうなロジックね・・・
逆に (スコア:1)
イベント演出とかで、近赤外レーザーで壁面とかに短時間QRコードを表示させて読ませるという使い方も可能なのかな
#ディスプレイ用意して表示させるほうが簡単でしょうけど
Re:逆に (スコア:1)
目視確認できなくて、スマホで撮影するしか無いという状況でどう使うのかよくわからないけど
Re: (スコア:0)
謎解きゲームのイベントなんかだと、ある謎を解いた結果で導かれた場所を
スマホで撮影すれば、次の謎が提示されるとかいった演出ができそう。
Re: (スコア:0)
スマホでしか見えない謎という感じでええな
QRコードを読み取るときはQRコードとの距離10cmまで近づいて… (スコア:0)
大型のスクリーンに表示するとか、
そんな遠くから狙えることなど、
ごく稀でしかない…。
ごく稀でしかないが、イベントや集会などで、起きた場合を想定して
実験したのだろう…。
Re: (スコア:0)
上から新しいQRコードをシールで貼っれていても、公式が訂正シール貼ったのか、イタズラで貼られてるのかは、コード解読か開いて内容見ないと誰にもわからないしな
Re: (スコア:0)
じゃあスマホだけで読み取れる不可視インクで上書きして偽造する!
Re: (スコア:0)
Re: (スコア:0)
QRコードにレーザーを照射し、任意の時間帯だけ別URLへ誘導するハック
https://security.srad.jp/story/23/03/27/1410232/ [security.srad.jp]
これですかね。
Re: (スコア:0)
それが5mだったのをもっと遠距離で試してみましたってのが今回の論文&ストーリー。
・無風な屋内なら40mは動的な光学補正なしで確実に攻撃可能でした。
・風でレーザーが乱されると攻撃が困難になりました。
以上。
Re: (スコア:0)
新幹線のテーブルにスマホを置くとJR東日本のECサイトが勝手に開く
https://it.srad.jp/story/23/06/14/140209/ [it.srad.jp] [it.srad.jp]
という、アレな話もありますが…。
Re: (スコア:0)
パリピ孔明で見た
Re: (スコア:0)
そう言えば秋に息子と一緒に高校の説明会に行ったとき、スクリーン映し出されたQRコードからアンケートサイトにとんだ記憶
まあ、レアケースですよね
補償光学系の出番だな (スコア:0)
おあつらえ向きにレーザーガイド星もあるし…
そもそも攻撃側の光学系にカメラ内蔵してるので、補償光学の実装は容易な気もするね。
長距離からの狙撃的な攻撃が問題であるなら、ビームを拡散するような幕を手前に置ければ良いんだろうが、QRコード読み取り自体を阻害するか…?
しかしまぁ、QRコードもそろそろ古くなってきて、攻撃手法が増えてきてるからアップデートの時期かもしれない。
後方互換性を保ったままセキュリティを向上させるのはなかなか面倒だと思うが手はあるのだろうか…。
リカバリレコードとかチェックサム追加する?
※サンプルに上がってるQR、妖怪大学の方が正しいのね…
Re:補償光学系の出番だな (スコア:1)
>サンプルに上がってるQR、妖怪大学の方が正しいのね
以前の発表が、tokai.ac.jpのQRコードにグレーの点を打つと、たまに白を黒と誤認して、
1ドットの白→黒の変化でyokai.ac.jpになるというもの。
今回のなどはレーザーで黒を白に誤認させるもので、変化方向が逆。
それでも、同じQRコードを流用してるので、yokaiがtokaiに変わるデモになってるんだと思います。
黒→白で東海→妖怪になるQRコードを用意できてないあたり、
この攻撃方法って実用性は無いんだろうなと思ってます。
Re: (スコア:0)
しかしまぁ、QRコードもそろそろ古くなってきて、攻撃手法が増えてきてるからアップデートの時期かもしれない。
シンキュウア~ルコ~ドですか?
Re: (スコア:0)
コードにリカバリレコードなりチェックサムなり追加する対策は、シール等を使った攻撃には無力のままなので、QRコードを紙ではなく画面で表示して、数十秒ごとに新しいQRコードを生成するとかしかないでしょうね。
(地と似た反射散乱性の)QRコード上に、不可視光偽QRコード像を照射 (スコア:0)
もうこれで済む様な気がする。
家の外のQRコードは読み込まないほうが良い (スコア:0)
海外では屋外にあるQRコード?を偽物に付け替えて悪質なサイトに誘導するのが増えているらしいとつい最近何かで読んだ
日本でも自動販売機とかのQRコードが偽物になってるのをニュースで見た。
自分が管理してないQRコードを不用意に読み込むのはセキュリティー的に問題がある行為
Re: (スコア:0)
QRコードを使ったフィッシングに気をつけろ! [srad.jp]
Re: (スコア:0)
ソフトウェア実装の問題も無いとは言い切れないのでは
復号した文字列(URL)を即座にブラウザに投げ込むようなのも多々見受けますので
せめて読み取り結果を表示して、「このサイトに接続しますか?(はい/いいえ)」くらいのクッションは置いて欲しいですね。
不可視? (スコア:0)
635nmって可視光では?
785nmは赤外みたいだけど
https://ja.m.wikipedia.org/wiki/%E5%8F%AF%E8%A6%96%E5%85%89%E7%B7%9A [wikipedia.org]
Re: (スコア:0)
635nmは人にも分かるように赤色でデモ、785nmは赤外で人にはわからない、ってやったんじゃないの?
実際、記事中の写真のキャプションにこう書いてある。
右端だけ「見えない」って言ってるわけで。中央は肉眼でも見えてるんだろう。
スマホ越しに見ても赤い輝点とはちょっと言えないぐらい微妙で、こんなのでも誤認させちゃうんだね…。
こりゃ人がスマホごしに見ても分からんだろう。あると分かってても微妙なんだから。
スマホの画面には輝点が表示される (スコア:0)
不可視ってことになってるレーザーだけど
読み込んでるスマホの画面には輝点が表示されるから
画面を見られるとバレるという脆弱性が
対策は簡単 (スコア:0)
QRコードをフードで覆ってやればよい。
ライトも付けとけばいいよ。