X
【決済】QRコードにセキュリティー上の弱点 不正サイトに誘導も
■ このスレッドは過去ログ倉庫に格納されています
0001ムヒタ ★
垢版 |
2018/06/24(日) 04:18:48.18ID:CAP_USER
電子決済や広告などに広く利用されている「QRコード」に、偽の情報を仕込むことができるセキュリティ上の弱点があることが、神戸大学のグループの研究でわかりました。この弱点を悪用すると、利用者を一定の割合で不正なサイトに誘導することも可能で、グループではセキュリティー対策の強化が必要だとしています。

QRコードは、インターネットのアドレスなどの情報を白と黒の四角い図形として表示し、スマートフォンなどで読み取るもので、電子決済や広告などに広く利用されています。

このQRコードのセキュリティについて、神戸大学の森井昌克教授らのグループが検証したところ、コードを作成する際に不正な操作を加えると、本来の情報に加えて、偽の情報を仕込むことができることがわかったということです。

これはコードを読み取る際のエラーを修復する機能を悪用したもので、こうして作られたQRコードを読み取ると、多くの場合は本来のサイトに誘導されますが、100人に1人といった一定の割合で、別のサイトなどに誘導することができるということです。

このため、金融機関などにつながると偽装したQRコードが表示されていた場合、本来のサイトに誘導されることもあるため、利用者が不正に気付きにくくなるおそれがあるということです。

こうした弱点を悪用した被害などは、まだ確認されていないということですが、森井教授は「QRコードは急速に普及しているので、今後、狙われる危険性がある。QRコードは一見しただけでは内容がわからないので、誘導された先が正しいかどうかチェックを強化する必要がある」と話しています。

改ざん被害も
QRコードの普及に伴って、QRコードを改ざんしてインターネットの悪質なサイトに誘導したり、現金がだまし取られたりする被害も出ています。

神戸大学の研究グループなどによりますと、QRコードは見ただけでは内容がわからないため、改ざんしたQRコードを読み取らせる手口が多いということです。

このうち、中国ではスーパーで商品ごとに掲示された支払い用のQRコードを、客がスマートフォンで読み取って決済するサービスが普及しているということで、改ざんしたQRコードを正しいコードの上から貼り付ける手口で、代金をだまし取られる被害も相次いでいるということです。

また、国内でもインターネットに掲載したQRコードで、悪質なサイトに誘導して、個人情報などをだまし取ろうとする手口が確認されているということです。
2018年6月23日 18時01分
https://www3.nhk.or.jp/news/html/20180623/k10011492631000.html
0039名刺は切らしておりまして
垢版 |
2018/06/24(日) 11:38:23.86ID:JoBJovJu
QRコード決済は、カメラのついたスマホなら実装できる汎用性が受けた
安いスマホしか持てなかった層でも使えるものだった
しかしもはやそんな層は中国にはいない
役割の終わった決済方法であることは明白
0042名刺は切らしておりまして
垢版 |
2018/06/24(日) 12:08:10.12ID:pIc2a/MQ
SNSのプライバシーと同様に、多少の詐欺行為は目をつぶるのいい加減さで成立する決済方法
0043名刺は切らしておりまして
垢版 |
2018/06/24(日) 12:12:36.49ID:fJxlJBk3
>>32
中国のヤツは振込先がQRになってて、振り込むだけだよ
相手は振り込まれたのを確認する、っていう単純なやつ

ただそれはポイントみたいなもんだから、不正があったら現金化
するときチェックされる、じゃなかったかな
0044名刺は切らしておりまして
垢版 |
2018/06/24(日) 12:23:33.39ID:QHamufmq
>>33
この研究はトンデモで100%飛ばしたほうが威力高いから、どうでもいいって

QRコードで飛ぶ先のURLをいちいち確認しない奴はどうせ騙されるんだから
0046名刺は切らしておりまして
垢版 |
2018/06/24(日) 12:34:28.43ID:7oU+aFht
読み取るのめんどくせーから廃止で
0047名刺は切らしておりまして
垢版 |
2018/06/24(日) 12:42:01.59ID:z/dfjOXc
スマホ取り出し、カメラ起動して読み込ませる。下手すると現金より時間かかる。電子マネーなら、一瞬で終わるのに
0048名刺は切らしておりまして
垢版 |
2018/06/24(日) 13:09:13.22ID:RO+D+yJi
>>47
中国じゃ現金が信用できないからな。
電子マネーはそれなりに設備投資費用がかかるし、スマホも
対応していないものも多いからな。
0049名刺は切らしておりまして
垢版 |
2018/06/24(日) 13:31:35.62ID:KKx3ebUc
はあ?
QRコード改竄できるなら何でもできるだろ
って思ったけど1/100とかの確率で他のサイトに飛ばせるのか
まあ気を付けるに越したことはないな
0050名刺は切らしておりまして
垢版 |
2018/06/24(日) 14:02:52.11ID:+6M+xmOe
>>1
なんで割合とか確率って言葉が出てくるんだ?
1パターンのQRコードからは必ず同じ情報が読める、ってもんじゃないのか?
0051名刺は切らしておりまして
垢版 |
2018/06/24(日) 14:11:53.30ID:xTYI6q6i
QRコードはエラー訂正に乱数でも使ってるのか?
確率で偽サイトに誘導できるのはQRコードのセキュリティ上の弱点というより、エラー訂正の弱点だろ
QRコードのセキュリティ性が高いなんて誰も思わんわ
0052名刺は切らしておりまして
垢版 |
2018/06/24(日) 14:32:07.67ID:y6GJqIAV
支那で、乞食すらQRコードでカネを恵んでもらってますってネタはヤラセだよね?ww
0053名刺は切らしておりまして
垢版 |
2018/06/24(日) 14:34:35.42ID:iBg9Pgol
名刺にQRコード入れてる奴ww
0056名刺は切らしておりまして
垢版 |
2018/06/24(日) 14:41:58.38ID:nbSXgx98
>>20
日本でこんなに長い間普及に努めたのに、POS導入コストと、クレカや電子マネーの運やうコストが高すぎて、大手チェーンでしか使えないというのが問題の根本。
まあ、いくら安いとはいえ、スマホで直接現金振り込むのもどうかと思うが。
0057名刺は切らしておりまして
垢版 |
2018/06/24(日) 14:42:08.02ID:wwQLF2An
>>11
QRコードを開発したのは日本企業だぞ
20年以上前に開発したものなのに今になるまで脆弱性が見つからないぐらい良くできてるってことだと思うんだが
0059名刺は切らしておりまして
垢版 |
2018/06/24(日) 14:52:49.57ID:6GRjSzaj
そうか、だからmetooは中国には絶対にいわないで日本に向けていってるのか。
ポリコレいってるやつらは人権とかいいながら、中国の弱者を人身御供にしてるのか。なるほど。
0060名刺は切らしておりまして
垢版 |
2018/06/24(日) 14:53:04.47ID:QHamufmq
>>55
そこはトンデモ
0061名刺は切らしておりまして
垢版 |
2018/06/24(日) 14:59:15.11ID:DQz9Ze4h
おまわりさんこの人です → >>23
0063名刺は切らしておりまして
垢版 |
2018/06/24(日) 15:14:11.60ID:CmaU1JLF
QRコードの脆弱性と言うか、
飛んだ先のURLは常に疑えと言う事なんだけど
まあ一般ユーザーには敷居高いよな……

接続先の証明書の発行元を見ろと指摘しても、
何処を見たら正規かどうか判断付くのか分からないだろうし。
0064名刺は切らしておりまして
垢版 |
2018/06/24(日) 15:15:29.17ID:oqGcShW7
>>20
つーか、QR決済が普及した本質は決済手数料が格安だったことで、
日本でいくらマネしても手数料が高ければ普及しないよ。
0065名刺は切らしておりまして
垢版 |
2018/06/24(日) 15:17:32.55ID:Xdc98i/F
>>63
SSLみたいに認証の仕組みを含んでいるものとは違って、あくまでもQRコードはアドレスの短縮形ってだけだからな
それ以上でもそれ以下でもない。なので、運用上どうするかといった話。

あと、敷居が高いは誤用な
0066名刺は切らしておりまして
垢版 |
2018/06/24(日) 15:46:22.90ID:zg7/uza2
>>23
この手口と本質は同じだなw
0067名刺は切らしておりまして
垢版 |
2018/06/24(日) 16:07:41.30ID:RtDybIlD
100分の1だとこのQRコードで決済した!
嘘つくなボケ!ほら決済できるだろが!
ってなるだろうな
0069名刺は切らしておりまして
垢版 |
2018/06/24(日) 16:34:00.90ID:7Nj/nB6H
ある店舗が、店のQRコードを読み込ませて来店スタンプ割引やってるが、QRコードの写真写しとけば来店することなくスタンプがもらえるお間抜け仕様w
0073名刺は切らしておりまして
垢版 |
2018/06/24(日) 19:11:35.79ID:KKx3ebUc
>>50-51
>>72のリンク先見たら一部のセルを灰色にして白と読まれる場合と黒と読まれる場合で異なるURLに飛ばせるってことらしい
0075名刺は切らしておりまして
垢版 |
2018/06/24(日) 20:04:55.40ID:EbPBzB/d
>>44
トンデモ扱いする根拠って何?


>>73
飛んだ後のURLを確認する前に読み込もうとするQRコードに灰色があったら危険ってことだな
0076名刺は切らしておりまして
垢版 |
2018/06/24(日) 21:00:37.79ID:KKx3ebUc
>>75
> 飛んだ後のURLを確認する前に読み込もうとするQRコードに灰色があったら危険ってことだな
小さいQRコードなら気づくだろうけどでかいQRコードだとセルのサイズが小さいからなかなか気づけないと思う
ただ問題が起きたあとに調べられたらすぐわかるから>>67みたいなことにはならない
0079名刺は切らしておりまして
垢版 |
2018/06/25(月) 01:18:25.48ID:PPG4OWnk
狙う相手がたった一人なら、そりゃ長期間気が付かれないって事はあるかもしれないが
この手の詐欺って大勢の人に短期集中でやらないと、いずれ気が付かれたらおしまいだろ
QRコードを単純い完全に偽造するより「気づかれにくい」って点だけが特異なのだとしても、
そこをうまく利用する詐欺の手法が思い浮かばない
0080名刺は切らしておりまして
垢版 |
2018/06/25(月) 01:19:04.98ID:qTfrniEe
中国が使い始めると、どんなものでもこの通りwww
0081名刺は切らしておりまして
垢版 |
2018/06/25(月) 03:07:48.19ID:bF9SEj9a
>>75
>トンデモ扱いする根拠って何?
>>44
>100%飛ばしたほうが威力高いから、どうでもいいって
>QRコードで飛ぶ先のURLをいちいち確認しない奴はどうせ騙されるんだから
0083名刺は切らしておりまして
垢版 |
2018/06/25(月) 08:44:56.22ID:AFYhG7Sc
>>79
すぐに気付かれるコードだと、ソフトで対策されるが、一定確率(読み取りソフトや光の加減で読み取り結果が異なる)で偽サイトに繋がるようなコードだと、再現性がとれなくて対策が困難ということらしい
偽サイトに繋がることが弱点なのではなく、一定確率で繋がるようなコードは、長期間対策されない可能性があるって感じ?
0084名刺は切らしておりまして
垢版 |
2018/06/25(月) 14:44:50.17ID:YgggzuMZ
>>83
ドメイン名なんかいくらでも取れるのにソフトで対策って何いってんの?

こういうのは短期間にカモを大量捕獲して身元特定される前にさっさと逃げないと話にならんのに、長期間だらだら続けるとか逃げようがないじゃん
0086名刺は切らしておりまして
垢版 |
2018/06/25(月) 15:01:47.53ID:DMtE4Fl2
こんなこと今更だよな。
もう何年か前から中国で言われてた。
俺が去年から会社で言っても、聞いてもらえなかったわ。
0087名刺は切らしておりまして
垢版 |
2018/06/25(月) 15:03:17.20ID:DMtE4Fl2
もうウイルスQRコードみたいの出るんじゃないか?
0089名刺は切らしておりまして
垢版 |
2018/06/29(金) 19:44:19.68ID:7T5n6Sh/
1000円のもの買って、10000万落とされたら気付くだろ。1050円だったら気付かないかも。でも50円ポッチてそんなめんどいことするかな
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況