副業でお金を稼ぐ方法2chまとめ -お金の増やし方・稼ぎ方-

せどり・株FX・アフィリエイトなど副業でみんながやってるお金を稼ぐ方法&失敗談などの2chまとめブログです



◆相互RSS随時募集中!お申込みはこちら
2018 06/25

QRコードに偽の情報を仕込むことができるセキュリティ上の弱点。100人に1人と言った割合でフィッシングサイトへ誘導する事も可能

1: 2018/06/24(日) 12:43:52
電子決済や広告などに広く利用されている「QRコード」に、偽の情報を仕込むことができるセキュリティ上の弱点があることが、神戸大学のグループの研究でわかりました。この弱点を悪用すると、利用者を一定の割合で不正なサイトに誘導することも可能で、グループではセキュリティー対策の強化が必要だとしています。

QRコードは、インターネットのアドレスなどの情報を白と黒の四角い図形として表示し、スマートフォンなどで読み取るもので、電子決済や広告などに広く利用されています。

このQRコードのセキュリティについて、神戸大学の森井昌克教授らのグループが検証したところ、コードを作成する際に不正な操作を加えると、本来の情報に加えて、偽の情報を仕込むことができることがわかったということです。

これはコードを読み取る際のエラーを修復する機能を悪用したもので、こうして作られたQRコードを読み取ると、多くの場合は本来のサイトに誘導されますが、100人に1人といった一定の割合で、別のサイトなどに誘導することができるということです。

このため、金融機関などにつながると偽装したQRコードが表示されていた場合、本来のサイトに誘導されることもあるため、利用者が不正に気付きにくくなるおそれがあるということです。

(中略)

決済などで利用広がる
QRコードは、平成6年に日本の大手自動車部品メーカーが開発した技術で、情報を1枚の図形に盛り込んでスマートフォンなどで読み取ることができます。

(中略)

QRコードを使った決済サービスは、中国など海外でも広がっていることから、外国からの観光客が利用することも多いということで、この商業施設では開始から2か月で、売り上げの4%をQRコードの決済が占めたいうことです。

買い物客は「サッと会計ができて、とても便利です。現金を出す機会がだいぶ減りました」と話していました。

http://www3.nhk.or.jp/news/html/20180623/k10011492631000.html



元記事:http://ai.2ch.sc/test/read.cgi/newsplus/1529811832/

3
>>1
これ記事書いた奴はわかってないだろw
上から偽のコードを貼りつける手口だったら脆弱性とか関係ないw


11
>>3
それだと一発でバレるだろ
一定の確率で偽サイトに行くというとこがミソ


15
>>3
じゃなくて貼り付けた上に1/100の確率で詐欺サイトに飛ばすから
正規のQRかどうかわからず見つかりにくいってことやないの?


12
>>1
以下の理解で合ってるかな?おせ~て、エロい人!

単にQRコードの仕様上の弱点が見つかっただけ。

悪用するには実際に店で偽コードを読ませないといけないから、貼り替えるか、店員もグルでないと難しい。


128
>>12
全然違う。
歪みやカスれなどで読み取り不十分なとき、エラー訂正で補完されるが、その時に偽の情報に改ざんされてしまう。
しかしそもそもエラー訂正情報はバーコード出力プログラムが自動的に生み出すから、そこに仕込まなきゃならんというなかなか困難な手段だな。


132
>>128
ピッタリのデータを作り出すのがムズい


130
>>128
今回の問題にエラー訂正情報などない
勘違いして嘘情報広めるな
分からないならレスするな
お前みたいなバカが一番迷惑なんだよ


134
>>130
いや関係大ありだろ
誤り訂正符合とはそういうもの


18
>>12
これは客を装ってQRをあちこち貼っていくってやつやろ
中国で問題になったのは


29
>>12
たしかqrコードには、エラーが起こった時にそれを
補完する機能があったような。
その仕様を悪用してるってことでね?

店側がそれを仕込んでおいて、偽ページに飛ばして
IDとパスを盗むとか。


43
>>18
>>29
サンクス。
なんとなくわかったような…


5
中国で偽QRコードシールを大量生産してたのが摘発されたニュース動画見たことあるが、レストランのメニューとかに重ね貼りするそうだから、分からんわな
シール作るコストも激安だろうし


6
過去何度か使ってみたがうまく読み取れないのか違うサイトに飛ばされそうになったことがよくあったので、
最近はQRコード使ってないわ。
今は良くなっているのかな。


8
>>6
それがこの記事なんだよ


9
TV録画に使っていたGコードはいつの間にか無くなっていたな
今使ってるビデオデッキのリモコンにGコード読み取り機能があるが全く機能してない


214
>>9
Gコードはアナログ放送時代には有効だったがデジタル放送は番組だけでなく番組情報(番組表)も含まれているため必要なくなった


16
QRコードは急速に普及している

そうかな?
出始めの頃から全く変わりない状態だと思うけど


17
>>16
ただし日本を除く


30
>>17
あのう、QRコードは日本発祥なんですが・・・


53
>>30
そもそもデンソーは自分とこの工場で使うことが前提で決済に使うとかアホなことまで想定していないw
25年前くらいの技術なんだぞw


67
>>30
QRはライセンス料無料だから普及が進んだ
日本は有料のsuicaを大人の事情で普及させたからガラパゴス化した


215
>>16
ガラケーはQRコードをURLにしか使わせなかったけどスマホになって汎用性が上がり
URLでもただのテキストデータでもなんでも送受信可能になったから使用状況は増えた


216
>>215
んなことねーよ
ガラケーの頃から住所やら一括でQR化して名刺に載せてたわ


217
>>216
ガラケーはQRの読み取りが機種依存
URL以外を不正とする機種は普通にあった


19
攻撃があまりに簡単すぎる
やっぱり現金が確実か


44
>>19
堅実なことで有名なドイツ人が
一番の現金主義だからな


20
ここにアクセスしてね!

が貼り替えられると、100人に1人が被害に遭うかもってやつだな。

ソフト側の生成する時点での欠陥だから、新しい奴には対処は比較的容易だな。


25
>>20
張替えってより、QRコードの生成ルーチンを書き換えられる
方が深刻だな。ウイルスに仕込んでターゲットのQRコード
生成部を改竄。それに気づかずにQRコードを作ると
99%は意図した通り読めるが1%の確率で仕込みが
発動する。
この仕込みありQRコードを正規ページに貼ってしまうと…


23
チェックサム的なのは無いのか?


27
>>23
その仕組に脆弱性がみつかって悪用されることがありうると言ってるだと思う


34
>>23
それを利用した脆弱性ってこと


57
>>23
単なるurlだとQRコードの仕様自体のチェックサム機能が働いて、ビミョーなQR画像が解釈の違いから
99回は銀行サイト
1回は詐欺サイト
につながるというようなことだと思う。

支払いQRコードの場合は、ペイメント会社が設定したチェックサムが機能する形で、上記のようなビミョーな判定は起こらない。


28
現金払い最強


31
例えば地震が起きたときに赤十字に直接送金できるQRですっていってfacebookで拡散させて、1/100くらいで自分に送金できるようになってるとボロ儲けてきるな


33
> 100人に1人といった一定の割合で、別のサイトなどに誘導

誤り訂正の処理に乱数でも使ってんのか?



41
>>35
そこに掲載されてる、間違えるQRコードを読んだけど、
同じアドレスしか出ないな


50
>>41
大多数の人は問題なくてたまに当たる人がいるんだろうな。
よく見ると1ドットだけ灰色で明るさの関係で1にも0にもなるようになっているな。


80
>>50
そのグレーを白くしても黒くしても同じところに飛ぶね


83
>>80
違うところだった。labとlobの違い
もっと例題として分かりやすい例題にしろと


95
>>83
謝り訂正を使用しているから何文字も変えれないんでしょう
www.a.comというアドレスがあるとして
www-a.comと言うアドレスを犯人が取得する
本当はa.comホスト宛のアクセスをwww-a.comが貰うような形にするわけだ。


48
>>35
グレーのドットが誤認識されるのかな?


51
>>48
グレーを白と認識するか、黒と認識するかで飛ぶページが違うのかな?
そもそも誤り補正をガンガンかけた状態で正規のページと認識していて
グレーの認識しだいでは、別の不正ページに飛んじゃうとかか?


55
>>48
labとlobに転ぶように出来ているね


37
focusが甘い状態で読むと別のアドレスになるとか?
下半分隠されたら別のアドレスになるとか?


63
>>37
昔の携帯で甘い・距離が離れすぎてる・汚れてる状態で読むと大抵は失敗するが
たまに正しくないバグった文字列データが表示されてしまうのはあった

データが化けた場合も複数起これば辻褄があって問題なしとすり抜ける場合があるように
たまたまデータとして解釈できてしまうとそうなるんだろうと思ってた


38
日本はもっと上位の決済使ってるからQR必要無い


45
もうスマホならURLの文字列を認識できるでしょ
QRコードなんて可読性もないし上からシール貼られたら終わり


66
QRコード自体の問題ではないだろ
ハードウェアの方で画像を完璧に読み取ればごまかしようがない


69
>コードを読み取る際のエラーを修復する機能を悪用したもの
こんな機能は無くせばいいじゃんって素人は思うんだけど
何度もエラーが出て撮り直しとか不便になるのかなww


73
>>69
エラー訂正要らないとか馬鹿の極み


87
>>69
QRコードなんで、誤り訂正符号の賜物だよ


70
灰色使われるのに対しては灰色を白か黒か判断させない
中間にグレーゾーン設けて3段階にして白と黒の判断のギャップを開かせて
グレーゾーンの濃さ部分があるとなるとエラーで強制終了ってのもあるかもなぁ


75
読み取ってページ遷移する前にURLしっかり見て確認するしかないけど
普通QRコードって読み取り後にURLを確認してから移動するもんじゃないの?
別に脆弱性利用しなくても、最初から不正サイトに誘導するような
QRコードだったりするかもしれないんだしさ


77
>>75
誰もそんなもん見てないよ


82
>>77
普通見るやろw


86
>>82
俺は見る
お前も見るだろう
それだけ


81
やっぱりフェリカのが信頼できるなぁ


90
1/100確率ってところがミソだな
絶妙にバレにくい


91
最初から不正サイトの情報を入れておけばいいじゃん
目視で読み取れるわけないんだから


93
>>91
100発100中ならばれる

100回に1回なら、下手したらずっとばれない
不正サイト被害があってQRコード怪しんでも
そのとき再現しなければ、他の経路を調査するだろ


110
中国で問題になってるのは上から偽QRの貼り付けてフィッシングサイトに飛ばす単純なやつだろ
それより高度だからこれからもっと問題になりそうと


114
クレカ使えばいいじゃん。アホか
中国は少額決済向けのクレカ網と与信機能の未完成でクレカシステムを構築できないから
QRでしのいでいるに過ぎないのに
日本が中国見習ってQR決済とか、本末転倒のアホ。


116
まあ写真撮ってコードを読み取るってのが元々無理がある


124
簡単なQRコードでもわざと複雑なQRにして解決!

ことにはならんの?


127
>>124
これは攻撃者がQR作成サイトとかソフトを作ってそれを他人に使わせて攻撃する事を考えられてる
正しいQRの格子1つや2つ書き換えても無理


159
urlは手打ちが1番安全


167
>>159
昔googleのURLのlとkを入れ換えた不正サイトがあったそうな(キーボードでlとkが隣で打ちま違いしやすい)


183
 灰色のブロックをマウスアイコンで隠したら、 偽サイトに飛ばなくなったな。
 はじめから偽サイトにとんで2、3回に一回は偽サイトにいくかんじだったが。

 素の状態でのQRコードは、あんまし信用できないってことはなんとなくわかるが。
だからといって脆弱性というほどのものでもないような。読者をペテンにかけてるかんじ。


188
>>183
そうそれ、試しに他のドットも変えてみればいい
これはグレーのところを誤読して欲しいってのが見え見え


198
>>188
わかりやすくしてくれたんだろうけど。
色も黒白以外なら気にもとめないだろうし。誤認できる割合も調整できるのであれば
信用できる企業、サイトのQRコード以外はゴミってなってしまうかんじ。
 ハッキングで画像すりかえられたら、それはそれで対応できないし。

QRコードはウェブサイトのリンク用途としては使えないって話なのかもしれないな。
 ほかの用途でがんばればいいとおもうw


200
>>198
それに近い、メールでURLむやみに踏まないのと同じように、
QRコードも気をつけましょう、位の話

これはアピールが上手い


186
これは、かなりヤバイな。
こうやって公開すると、弱点を探し出して使う奴がでてきそうで、逆に怖いわ。


192
フリーサイトで作ったとして、適当なドットを1つか2つ反転させてみて読み込ませればすぐに分かる
まともなQRならそれでも意図した動作になるが、このやり方だと飛びたいサイトでもフィッシングサイトでもない所に飛ぶはず


229
QRコード取り替えるやつは中国で流行ってたな


230
QRコードに埋め込めるのはべつにURLだけじゃないんだから、それをURLかどうか判断するのはアプリ側なわけ。
つまり、そのURLが不正なものかどうかの判断もアプリ側で可能。
そのためのロジックだけ確立して公開すれば良い。


関連記事

この記事と関連する記事

QRコードに偽の情報を仕込むことができるセキュリティ上の弱点。100人に1人と言った割合でフィッシングサイトへ誘導する事も可能

電子マネーQRコード決済

スレッドテーマ : 電子マネー ジャンル : 株式・投資・マネー

(-)TB(-)

AFTER「政府、中小の小売・飲食店のキャッシュレス決済の導入支援。←消費税10%引き上げ時ってのがミソ

BEFORE「3分の早上がりで謝罪会見を開く日本に衝撃を受ける海外。過労死や高度プロフェッショナル制度などの問題点も指摘

Top