【決済】ＱＲコードにセキュリティー上の弱点 不正サイトに誘導も

[0001 ムヒタ ★ 2018/06/24(日) 04:18:48.18 ID:CAP_USER]

電子決済や広告などに広く利用されている「ＱＲコード」に、偽の情報を仕込むことができるセキュリティ上の弱点があることが、神戸大学のグループの研究でわかりました。この弱点を悪用すると、利用者を一定の割合で不正なサイトに誘導することも可能で、グループではセキュリティー対策の強化が必要だとしています。

ＱＲコードは、インターネットのアドレスなどの情報を白と黒の四角い図形として表示し、スマートフォンなどで読み取るもので、電子決済や広告などに広く利用されています。

このＱＲコードのセキュリティについて、神戸大学の森井昌克教授らのグループが検証したところ、コードを作成する際に不正な操作を加えると、本来の情報に加えて、偽の情報を仕込むことができることがわかったということです。

これはコードを読み取る際のエラーを修復する機能を悪用したもので、こうして作られたＱＲコードを読み取ると、多くの場合は本来のサイトに誘導されますが、100人に１人といった一定の割合で、別のサイトなどに誘導することができるということです。

このため、金融機関などにつながると偽装したＱＲコードが表示されていた場合、本来のサイトに誘導されることもあるため、利用者が不正に気付きにくくなるおそれがあるということです。

こうした弱点を悪用した被害などは、まだ確認されていないということですが、森井教授は「ＱＲコードは急速に普及しているので、今後、狙われる危険性がある。ＱＲコードは一見しただけでは内容がわからないので、誘導された先が正しいかどうかチェックを強化する必要がある」と話しています。

改ざん被害も
ＱＲコードの普及に伴って、ＱＲコードを改ざんしてインターネットの悪質なサイトに誘導したり、現金がだまし取られたりする被害も出ています。

神戸大学の研究グループなどによりますと、ＱＲコードは見ただけでは内容がわからないため、改ざんしたＱＲコードを読み取らせる手口が多いということです。

このうち、中国ではスーパーで商品ごとに掲示された支払い用のＱＲコードを、客がスマートフォンで読み取って決済するサービスが普及しているということで、改ざんしたＱＲコードを正しいコードの上から貼り付ける手口で、代金をだまし取られる被害も相次いでいるということです。

また、国内でもインターネットに掲載したＱＲコードで、悪質なサイトに誘導して、個人情報などをだまし取ろうとする手口が確認されているということです。
2018年6月23日 18時01分
https://www3.nhk.or.jp/news/html/20180623/k10011492631000.html

[0002 名刺は切らしておりまして 2018/06/24(日) 04:27:18.27 ID:5qHsBkm+]

ＡＩ「デジタルのアナログ化

[0003 名刺は切らしておりまして 2018/06/24(日) 04:45:25.77 ID:BFnIVQie]

中華ソバに検証させれば完全

[0004 名刺は切らしておりまして 2018/06/24(日) 05:00:19.16 ID:LjwyKrpG]

始めから分ってたことじゃん
どこのアホが説明するんだ

[0005 名刺は切らしておりまして 2018/06/24(日) 05:07:28.78 ID:dyaTfC3/]

えええ
今は中国の殆どがＱＲ決済とか聞いたが
使えなくなったら経済麻痺するんじゃね？ｗ
信用できない新しいものにすぐ飛びついてアホだな

[0006 名刺は切らしておりまして 2018/06/24(日) 05:13:10.96 ID:6hnKvQBd]

そもそもなぜqrコードなのか

[0007 名刺は切らしておりまして 2018/06/24(日) 05:15:24.87 ID:B5xo012q]

>>6
たんに小売店が負担するコストが低いから
セキュリティはここでも指摘されている通り、最低限でしかない
Suicaとかのようなものの方がはるかに安全

[0008 名刺は切らしておりまして 2018/06/24(日) 05:16:23.68 ID:j6XmPKoG]

わけやか訳の分からんバーコード読まなきゃいい話。

認証用のバーコードなら何ら問題はない。

[0009 名刺は切らしておりまして 2018/06/24(日) 05:16:34.43 ID:+2P1nLIH]

んなもん、大学が公表しなくても
中国ですでにQRコードの不正サイト支払い誘導
多発してるだろうに

[0010 名刺は切らしておりまして 2018/06/24(日) 05:17:27.79 ID:1qZqW979]

QRなんか、現金に信用が無い国で使われるだけのローテク
シール1枚で詐欺れることは以前から報道もされてた
我が国では、普通にFeliCaを使い続ければ良いだろ
FeliCaの設定や契約さえ面倒がる奴がQRなんか使うとは思えんしな

[0011 名刺は切らしておりまして 2018/06/24(日) 05:23:04.49 ID:fJxlJBk3]

＞中国では改ざんしたＱＲコードを正しいコードの上から貼り付ける手口で、
代金をだまし取られる被害も相次いでいるということです。


こりゃだめだわ
こんなに簡単に詐欺ができるんじゃ
やっぱり中国のもんは信用できないわ

[0012 名刺は切らしておりまして 2018/06/24(日) 05:24:30.99 ID:8t41yh/A]

そもそも中国とか露店でQRコードあっても、それが偽造していなくても怖すぎるわｗ
店自体が堂々と不制してそうで

[0013 名刺は切らしておりまして 2018/06/24(日) 05:24:48.20 ID:hCSPuI9c]

>>1
『いかに大学の研究がムダであるか、神戸大学によって実証されました。』の間違いでは？

[0014 名刺は切らしておりまして 2018/06/24(日) 05:25:06.53 ID:fJxlJBk3]

それで
中国ではどうゆう対策とってるんだろ
まさかそのままとか？

[0015 名刺は切らしておりまして 2018/06/24(日) 05:42:41.07 ID:T5jKGT8a]

中国はこの手の報道は規制されるかもだな

[0016 名刺は切らしておりまして 2018/06/24(日) 05:53:03.12 ID:5U3fu+h1]

危険性の提示とその不正対策を研究し開示しなさい。

[0017 名刺は切らしておりまして 2018/06/24(日) 06:02:50.13 ID:hCSPuI9c]

>>16
公開鍵で暗号化したデータをQRコードで記録、カメラで読んだQRコードを特定URLのサイトへ
httpsリクエストで投げて、秘密鍵で複合化したデータをjson形式等で得るとか、QRコードを
中継するサイト側で、本来のサイトへ飛ばすといった仕組みを作ればいい。

でもQRコードは誰でも簡単に作成・印刷できるから、偽のQRコードと、偽のWebサイトをセットで
運用されたら防ぎようがない。　無関係な第三者の個人情報や、クレカを使って、正規のサーバ
証明書を取得するのも、不可能ではない。

[0018 名刺は切らしておりまして 2018/06/24(日) 06:17:17.40 ID:kSfmYUHg]

スーパーにあるコードの上から、偽のコードを貼っとけば自動的に別の店の売上になるの？
イタズラだけでも大混乱じゃん

[0019 名刺は切らしておりまして 2018/06/24(日) 06:22:27.07 ID:fJxlJBk3]

>>17
>偽のQRコードと、偽のWebサイトをセットで 運用されたら防ぎようがない。　


それなら俺でも簡単に出来そうだわ
店員が見てないときシールをはればいいもんね

[0020 名刺は切らしておりまして 2018/06/24(日) 06:59:04.26 ID:iodertZ6]

10年以上前からFeliCaあんのに、
なんで今さらQRにしなきゃいけないのか
意味分からん。退化してんじゃん。

中国人がアリペイやウィーチャットペイを
使えるようにしとけばいいだけなのに、
日本人にも強制すんな、LINEと楽天。

[0021 名刺は切らしておりまして 2018/06/24(日) 07:00:30.04 ID:ue0L4hxn]

qrなんてただの文字列に変換されるんだから省略urlとなんも変わらんわ

[0022 名刺は切らしておりまして 2018/06/24(日) 07:14:04.04 ID:wx+2fJlH]

>>20
そんな前からあるのに結局流行らなかったね

[0023 名刺は切らしておりまして 2018/06/24(日) 07:23:30.28 ID:w2XtufVG]

今でも輸入牛のバーコードシールを神戸牛にはってセルフレジで支払えば安く買えるだろ？

[0024 名刺は切らしておりまして 2018/06/24(日) 07:59:58.96 ID:9J3swlal]

マジかよ、バーコード親父最低だな

[0025 名刺は切らしておりまして 2018/06/24(日) 08:15:52.76 ID:XadYMeui]

エラー前提の仕組みに完全性を求めてもね。
１割は間違う仕様だろ。　２回読めば１％だよ。

[0026 名刺は切らしておりまして 2018/06/24(日) 08:48:38.95 ID:CUzFFXZd]

決済に使うQRコードって貼ってあるものではなくてスマホに表示されてるQRコードをレジとかで読ませるものだと思ってたわ

[0027 名刺は切らしておりまして 2018/06/24(日) 09:19:57.46 ID:L3h/Qf8H]

>>25
QR読み込みなんて運が悪いとなかなか認識しなくてイライラするのにそれを2回とかないわ

[0028 名刺は切らしておりまして 2018/06/24(日) 09:33:39.26 ID:Gno6OdVh]

>>20
まず流行らないだろうし、使ってる人は被害にあって、LINEと楽天が損害賠償で潰れるだけだろ
アメリカとかEUで訴訟起こされたら酷いことになりそうだし

[0029 名刺は切らしておりまして 2018/06/24(日) 10:02:02.77 ID:gDxXFYz1]

>>20
NFCのタグを作るよりQRコードを印刷するほうが
遥かに安いからな。
コストの問題。

[0030 名刺は切らしておりまして 2018/06/24(日) 10:23:48.81 ID:EbPBzB/d]

>>4
この手段を初めから分かってたってお前天才かよ

[0031 名刺は切らしておりまして 2018/06/24(日) 10:32:59.11 ID:UAEuy1XB]

マスコミって、やけに中国のQR決済を絶賛してるな。
日本には、電子マネー決済があるのに

[0032 名刺は切らしておりまして 2018/06/24(日) 10:36:40.02 ID:dI29HiYD]

>>30
すでにチャイナとか問題になってるからな

[0033 名刺は切らしておりまして 2018/06/24(日) 10:41:10.82 ID:EbPBzB/d]

>>32
何十何百何千分の一の任意の割合で偽装サイトに飛ばすっていうQRコードが既に中国にあったのか？

[0034 名刺は切らしておりまして 2018/06/24(日) 10:42:59.87 ID:/aCV/OHD]

>>1
金融庁ゴリ押しの国策フィンテックが有能て印象づけたいだろうと思う。
わざわざNHKがトップで流してるし。

そもそも中国のQR決済て単純に振込む行為の情報だけじゃなかったっけ？
日本のQR決済はわざわざ脆弱な手順仕組みを取り入れてるんじゃなかったっけ？

[0035 名刺は切らしておりまして 2018/06/24(日) 10:45:49.79 ID:M7FUmafI]

これ「ＱＲコード」に、偽の情報を仕込むことができるセキュリティ上の弱点なのか？？？？？

金融機関などにつながると偽装したＱＲコードが表示されていた場合って、そのサイトの脆弱性だろ
改ざんしたＱＲコードを正しいコードの上から貼り付ける手口ってのもQRコードの脆弱性じゃないだろ
国内でもインターネットに掲載したＱＲコードで、悪質なサイトに誘導してってのもQRコードの脆弱性と違うだろ

[0036 名刺は切らしておりまして 2018/06/24(日) 10:50:12.30 ID:EbPBzB/d]

>>35
QR読み取りのエラー訂正を利用して一定の割合で目的とは違うサイトに飛ばすって話だぞ

[0037 名刺は切らしておりまして 2018/06/24(日) 10:59:05.34 ID:VWRBEsm/]

>>31
普及しないと意味ないからな。

[0038 名刺は切らしておりまして 2018/06/24(日) 11:08:53.63 ID:zZh0Kupu]

>100人に１人といった一定の割合で・・・誘導
こいうの、なかなか、気が付くの大変そーだなぁ

[0039 名刺は切らしておりまして 2018/06/24(日) 11:38:23.86 ID:JoBJovJu]

QRコード決済は、カメラのついたスマホなら実装できる汎用性が受けた
安いスマホしか持てなかった層でも使えるものだった
しかしもはやそんな層は中国にはいない
役割の終わった決済方法であることは明白

[0040 名刺は切らしておりまして 2018/06/24(日) 12:06:00.90 ID:D6jHp0iM]

中国でもQRコードすり替えられて振込口座が変わってるとかあるらしいな

[0041 名刺は切らしておりまして 2018/06/24(日) 12:06:43.45 ID:D6jHp0iM]

>>14
とってないだろ
乞食だってQRコードで振り込んでもらうんだから誰でも何でも作れる状態

[0042 名刺は切らしておりまして 2018/06/24(日) 12:08:10.12 ID:pIc2a/MQ]

SNSのプライバシーと同様に、多少の詐欺行為は目をつぶるのいい加減さで成立する決済方法

[0043 名刺は切らしておりまして 2018/06/24(日) 12:12:36.49 ID:fJxlJBk3]

>>32
中国のヤツは振込先がＱＲになってて、振り込むだけだよ
相手は振り込まれたのを確認する、っていう単純なやつ

ただそれはポイントみたいなもんだから、不正があったら現金化
するときチェックされる、じゃなかったかな

[0044 名刺は切らしておりまして 2018/06/24(日) 12:23:33.39 ID:QHamufmq]

>>33
この研究はトンデモで100%飛ばしたほうが威力高いから、どうでもいいって

QRコードで飛ぶ先のURLをいちいち確認しない奴はどうせ騙されるんだから

[0045 名刺は切らしておりまして 2018/06/24(日) 12:28:36.02 ID:ewMGLPae]

>>17
復号化、な。

[0046 名刺は切らしておりまして 2018/06/24(日) 12:34:28.43 ID:7oU+aFht]

読み取るのめんどくせーから廃止で

[0047 名刺は切らしておりまして 2018/06/24(日) 12:42:01.59 ID:z/dfjOXc]

スマホ取り出し、カメラ起動して読み込ませる。下手すると現金より時間かかる。電子マネーなら、一瞬で終わるのに

[0048 名刺は切らしておりまして 2018/06/24(日) 13:09:13.22 ID:RO+D+yJi]

>>47
中国じゃ現金が信用できないからな。
電子マネーはそれなりに設備投資費用がかかるし、スマホも
対応していないものも多いからな。

[0049 名刺は切らしておりまして 2018/06/24(日) 13:31:35.62 ID:KKx3ebUc]

はあ？
QRコード改竄できるなら何でもできるだろ
って思ったけど1/100とかの確率で他のサイトに飛ばせるのか
まあ気を付けるに越したことはないな

[0050 名刺は切らしておりまして 2018/06/24(日) 14:02:52.11 ID:+6M+xmOe]

>>1
なんで割合とか確率って言葉が出てくるんだ？
1パターンのQRコードからは必ず同じ情報が読める、ってもんじゃないのか？

[0051 名刺は切らしておりまして 2018/06/24(日) 14:11:53.30 ID:xTYI6q6i]

QRコードはエラー訂正に乱数でも使ってるのか？
確率で偽サイトに誘導できるのはQRコードのセキュリティ上の弱点というより、エラー訂正の弱点だろ
QRコードのセキュリティ性が高いなんて誰も思わんわ

[0052 名刺は切らしておりまして 2018/06/24(日) 14:32:07.67 ID:y6GJqIAV]

支那で、乞食すらQRコードでカネを恵んでもらってますってネタはヤラセだよね？ww

[0053 名刺は切らしておりまして 2018/06/24(日) 14:34:35.42 ID:iBg9Pgol]

名刺にQRコード入れてる奴ｗｗ

[0054 名刺は切らしておりまして 2018/06/24(日) 14:36:31.53 ID:LCMGWo5D]

あるURLのQRコードが欲しい時に、怪しい作成サイトで作っちゃダメってことか。

[0055 名刺は切らしておりまして 2018/06/24(日) 14:41:43.84 ID:VWRBEsm/]

>>50
よく読め。
意図的に、まれに違う情報をだせることが明らかになったから問題なんだ。

[0056 名刺は切らしておりまして 2018/06/24(日) 14:41:58.38 ID:nbSXgx98]

>>20
日本でこんなに長い間普及に努めたのに、POS導入コストと、クレカや電子マネーの運やうコストが高すぎて、大手チェーンでしか使えないというのが問題の根本。
まあ、いくら安いとはいえ、スマホで直接現金振り込むのもどうかと思うが。

[0057 名刺は切らしておりまして 2018/06/24(日) 14:42:08.02 ID:wwQLF2An]

>>11
QRコードを開発したのは日本企業だぞ
20年以上前に開発したものなのに今になるまで脆弱性が見つからないぐらい良くできてるってことだと思うんだが

[0058 名刺は切らしておりまして 2018/06/24(日) 14:48:44.39 ID:bsit3o3v]

これヤバくね？
フィッシング詐欺やり放題やんけ

[0059 名刺は切らしておりまして 2018/06/24(日) 14:52:49.57 ID:6GRjSzaj]

そうか、だからmetooは中国には絶対にいわないで日本に向けていってるのか。
ポリコレいってるやつらは人権とかいいながら、中国の弱者を人身御供にしてるのか。なるほど。

[0060 名刺は切らしておりまして 2018/06/24(日) 14:53:04.47 ID:QHamufmq]

>>55
そこはトンデモ

[0061 名刺は切らしておりまして 2018/06/24(日) 14:59:15.11 ID:DQz9Ze4h]

おまわりさんこの人です → >>23

[0062 名刺は切らしておりまして 2018/06/24(日) 15:09:26.30 ID:Xdc98i/F]

デンソー最低だな

[0063 名刺は切らしておりまして 2018/06/24(日) 15:14:11.60 ID:CmaU1JLF]

QRコードの脆弱性と言うか、
飛んだ先のURLは常に疑えと言う事なんだけど
まあ一般ユーザーには敷居高いよな……

接続先の証明書の発行元を見ろと指摘しても、
何処を見たら正規かどうか判断付くのか分からないだろうし。

[0064 名刺は切らしておりまして 2018/06/24(日) 15:15:29.17 ID:oqGcShW7]

>>20
つーか、QR決済が普及した本質は決済手数料が格安だったことで、
日本でいくらマネしても手数料が高ければ普及しないよ。

[0065 名刺は切らしておりまして 2018/06/24(日) 15:17:32.55 ID:Xdc98i/F]

>>63
SSLみたいに認証の仕組みを含んでいるものとは違って、あくまでもQRコードはアドレスの短縮形ってだけだからな
それ以上でもそれ以下でもない。なので、運用上どうするかといった話。

あと、敷居が高いは誤用な

[0066 名刺は切らしておりまして 2018/06/24(日) 15:46:22.90 ID:zg7/uza2]

>>23
この手口と本質は同じだなw

[0067 名刺は切らしておりまして 2018/06/24(日) 16:07:41.30 ID:RtDybIlD]

100分の1だとこのQRコードで決済した！
嘘つくなボケ！ほら決済できるだろが！
ってなるだろうな

[0068 名刺は切らしておりまして 2018/06/24(日) 16:09:36.75 ID:RODzAucG]

>>6
特別なハードウェアは何もなくても使える

[0069 名刺は切らしておりまして 2018/06/24(日) 16:34:00.90 ID:7Nj/nB6H]

ある店舗が、店のQRコードを読み込ませて来店スタンプ割引やってるが、QRコードの写真写しとけば来店することなくスタンプがもらえるお間抜け仕様w

[0070 名刺は切らしておりまして 2018/06/24(日) 16:37:56.89 ID:uEyCLY6w]

>>69
仕様は間抜けでもそれやったら犯罪ですよ

[0071 名刺は切らしておりまして 2018/06/24(日) 18:01:51.38 ID:5xgFwgbQ]

>>60
トンデモっていうソースある？

[0072 名刺は切らしておりまして 2018/06/24(日) 18:37:21.25 ID:PhHavFu7]

もう少し見やすい記事があった
https://news.yahoo.co.jp/byline/moriimasakatsu/20180624-00086884/

サンプルのQRコードは、見づらいが「lab」に飛ぶ場合と「lob」に飛ぶ場合で揺れる

[0073 名刺は切らしておりまして 2018/06/24(日) 19:11:35.79 ID:KKx3ebUc]

>>50-51
>>72のリンク先見たら一部のセルを灰色にして白と読まれる場合と黒と読まれる場合で異なるURLに飛ばせるってことらしい

[0074 名刺は切らしておりまして 2018/06/24(日) 19:40:31.20 ID:ptEI8Dw1]

QRコード決済は使わないようにするわ

[0075 名刺は切らしておりまして 2018/06/24(日) 20:04:55.40 ID:EbPBzB/d]

>>44
トンデモ扱いする根拠って何？


>>73
飛んだ後のURLを確認する前に読み込もうとするQRコードに灰色があったら危険ってことだな

[0076 名刺は切らしておりまして 2018/06/24(日) 21:00:37.79 ID:KKx3ebUc]

>>75
> 飛んだ後のURLを確認する前に読み込もうとするQRコードに灰色があったら危険ってことだな
小さいQRコードなら気づくだろうけどでかいQRコードだとセルのサイズが小さいからなかなか気づけないと思う
ただ問題が起きたあとに調べられたらすぐわかるから>>67みたいなことにはならない

[0077 名刺は切らしておりまして 2018/06/24(日) 22:39:08.26 ID:K+6xTdRu]

>>19
中国なら店員が偽造しそう

[0078 名刺は切らしておりまして 2018/06/25(月) 01:04:57.37 ID:6Xfs2KMA]

一定の割合で確実に踏ませることができる上に気づかれにくいって最高だな

[0079 名刺は切らしておりまして 2018/06/25(月) 01:18:25.48 ID:PPG4OWnk]

狙う相手がたった一人なら、そりゃ長期間気が付かれないって事はあるかもしれないが
この手の詐欺って大勢の人に短期集中でやらないと、いずれ気が付かれたらおしまいだろ
QRコードを単純い完全に偽造するより「気づかれにくい」って点だけが特異なのだとしても、
そこをうまく利用する詐欺の手法が思い浮かばない

[0080 名刺は切らしておりまして 2018/06/25(月) 01:19:04.98 ID:qTfrniEe]

中国が使い始めると、どんなものでもこの通りwww

[0081 名刺は切らしておりまして 2018/06/25(月) 03:07:48.19 ID:bF9SEj9a]

>>75
>トンデモ扱いする根拠って何？
>>44
>100%飛ばしたほうが威力高いから、どうでもいいって
>QRコードで飛ぶ先のURLをいちいち確認しない奴はどうせ騙されるんだから

[0082 名刺は切らしておりまして 2018/06/25(月) 08:05:24.09 ID:BHgsMltD]

>>81
何コイツ馬鹿なの？

[0083 名刺は切らしておりまして 2018/06/25(月) 08:44:56.22 ID:AFYhG7Sc]

>>79
すぐに気付かれるコードだと、ソフトで対策されるが、一定確率(読み取りソフトや光の加減で読み取り結果が異なる)で偽サイトに繋がるようなコードだと、再現性がとれなくて対策が困難ということらしい
偽サイトに繋がることが弱点なのではなく、一定確率で繋がるようなコードは、長期間対策されない可能性があるって感じ？

[0084 名刺は切らしておりまして 2018/06/25(月) 14:44:50.17 ID:YgggzuMZ]

>>83
ドメイン名なんかいくらでも取れるのにソフトで対策って何いってんの？

こういうのは短期間にカモを大量捕獲して身元特定される前にさっさと逃げないと話にならんのに、長期間だらだら続けるとか逃げようがないじゃん

[0085 名刺は切らしておりまして 2018/06/25(月) 14:47:31.39 ID:tMGyBOqC]

>>6
文化放送派だった

[0086 名刺は切らしておりまして 2018/06/25(月) 15:01:47.53 ID:DMtE4Fl2]

こんなこと今更だよな。
もう何年か前から中国で言われてた。
俺が去年から会社で言っても、聞いてもらえなかったわ。

[0087 名刺は切らしておりまして 2018/06/25(月) 15:03:17.20 ID:DMtE4Fl2]

もうウイルスQRコードみたいの出るんじゃないか？

[0088 名刺は切らしておりまして 2018/06/26(火) 09:37:22.46 ID:yexZzFEh]

QRマンセーはどこに行ったんだ？

[0089 名刺は切らしておりまして 2018/06/29(金) 19:44:19.68 ID:7T5n6Sh/]

1000円のもの買って、10000万落とされたら気付くだろ。1050円だったら気付かないかも。でも50円ポッチてそんなめんどいことするかな