ＱＲコードに偽の情報を仕込むことができるセキュリティ上の弱点。100人に1人と言った割合でフィッシングサイトへ誘導する事も可能

2018/06/25 2018/06/25

電子マネー

1: 2018/06/24(日) 12:43:52

電子決済や広告などに広く利用されている「ＱＲコード」に、偽の情報を仕込むことができるセキュリティ上の弱点があることが、神戸大学のグループの研究でわかりました。この弱点を悪用すると、利用者を一定の割合で不正なサイトに誘導することも可能で、グループではセキュリティー対策の強化が必要だとしています。

ＱＲコードは、インターネットのアドレスなどの情報を白と黒の四角い図形として表示し、スマートフォンなどで読み取るもので、電子決済や広告などに広く利用されています。

このＱＲコードのセキュリティについて、神戸大学の森井昌克教授らのグループが検証したところ、コードを作成する際に不正な操作を加えると、本来の情報に加えて、偽の情報を仕込むことができることがわかったということです。

これはコードを読み取る際のエラーを修復する機能を悪用したもので、こうして作られたＱＲコードを読み取ると、多くの場合は本来のサイトに誘導されますが、100人に１人といった一定の割合で、別のサイトなどに誘導することができるということです。

このため、金融機関などにつながると偽装したＱＲコードが表示されていた場合、本来のサイトに誘導されることもあるため、利用者が不正に気付きにくくなるおそれがあるということです。

(中略)

決済などで利用広がる
ＱＲコードは、平成６年に日本の大手自動車部品メーカーが開発した技術で、情報を１枚の図形に盛り込んでスマートフォンなどで読み取ることができます。

(中略)

ＱＲコードを使った決済サービスは、中国など海外でも広がっていることから、外国からの観光客が利用することも多いということで、この商業施設では開始から２か月で、売り上げの４％をＱＲコードの決済が占めたいうことです。

買い物客は「サッと会計ができて、とても便利です。現金を出す機会がだいぶ減りました」と話していました。

http://www3.nhk.or.jp/news/html/20180623/k10011492631000.html

元記事：http://ai.2ch.sc/test/read.cgi/newsplus/1529811832/

→主婦が月収200万、学生が年収1000万？！放置OKのほったらかしFXで嘘みたいな副収入を得る方法

>>1
これ記事書いた奴はわかってないだろw
上から偽のコードを貼りつける手口だったら脆弱性とか関係ないw

>>3
それだと一発でバレるだろ
一定の確率で偽サイトに行くというとこがミソ

>>3
じゃなくて貼り付けた上に1/100の確率で詐欺サイトに飛ばすから
正規のQRかどうかわからず見つかりにくいってことやないの？

>>1
以下の理解で合ってるかな？おせ～て、エロい人！

単にQRコードの仕様上の弱点が見つかっただけ。

悪用するには実際に店で偽コードを読ませないといけないから、貼り替えるか、店員もグルでないと難しい。

128

>>12
全然違う。
歪みやカスれなどで読み取り不十分なとき、エラー訂正で補完されるが、その時に偽の情報に改ざんされてしまう。
しかしそもそもエラー訂正情報はバーコード出力プログラムが自動的に生み出すから、そこに仕込まなきゃならんというなかなか困難な手段だな。

132

>>128
ピッタリのデータを作り出すのがムズい

130

>>128
今回の問題にエラー訂正情報などない
勘違いして嘘情報広めるな
分からないならレスするな
お前みたいなバカが一番迷惑なんだよ

134

>>130
いや関係大ありだろ
誤り訂正符合とはそういうもの

>>12
これは客を装ってQRをあちこち貼っていくってやつやろ
中国で問題になったのは

>>12
たしかqrコードには、エラーが起こった時にそれを
補完する機能があったような。
その仕様を悪用してるってことでね？

店側がそれを仕込んでおいて、偽ページに飛ばして
IDとパスを盗むとか。

>>18
>>29
サンクス。
なんとなくわかったような…

中国で偽QRコードシールを大量生産してたのが摘発されたニュース動画見たことあるが、レストランのメニューとかに重ね貼りするそうだから、分からんわな
シール作るコストも激安だろうし

過去何度か使ってみたがうまく読み取れないのか違うサイトに飛ばされそうになったことがよくあったので、
最近はQRコード使ってないわ。
今は良くなっているのかな。

>>6
それがこの記事なんだよ

TV録画に使っていたGコードはいつの間にか無くなっていたな
今使ってるビデオデッキのリモコンにGコード読み取り機能があるが全く機能してない

214

>>9
Gコードはアナログ放送時代には有効だったがデジタル放送は番組だけでなく番組情報(番組表)も含まれているため必要なくなった

ＱＲコードは急速に普及している

そうかな？
出始めの頃から全く変わりない状態だと思うけど

>>16
ただし日本を除く

>>17
あのう、ＱＲコードは日本発祥なんですが・・・

>>30
そもそもデンソーは自分とこの工場で使うことが前提で決済に使うとかアホなことまで想定していないw
25年前くらいの技術なんだぞw

>>30
QRはライセンス料無料だから普及が進んだ
日本は有料のsuicaを大人の事情で普及させたからガラパゴス化した

215

>>16
ガラケーはQRコードをURLにしか使わせなかったけどスマホになって汎用性が上がり
URLでもただのテキストデータでもなんでも送受信可能になったから使用状況は増えた

216

>>215
んなことねーよ
ガラケーの頃から住所やら一括でQR化して名刺に載せてたわ

217

>>216
ガラケーはQRの読み取りが機種依存
URL以外を不正とする機種は普通にあった

攻撃があまりに簡単すぎる
やっぱり現金が確実か

>>19
堅実なことで有名なドイツ人が
一番の現金主義だからな

ここにアクセスしてね！

が貼り替えられると、100人に１人が被害に遭うかもってやつだな。

ソフト側の生成する時点での欠陥だから、新しい奴には対処は比較的容易だな。

>>20
張替えってより、QRコードの生成ルーチンを書き換えられる
方が深刻だな。ウイルスに仕込んでターゲットのQRコード
生成部を改竄。それに気づかずにQRコードを作ると
99%は意図した通り読めるが1%の確率で仕込みが
発動する。
この仕込みありQRコードを正規ページに貼ってしまうと…

チェックサム的なのは無いのか？

>>23
その仕組に脆弱性がみつかって悪用されることがありうると言ってるだと思う

>>23
それを利用した脆弱性ってこと

>>23
単なるurlだとQRコードの仕様自体のチェックサム機能が働いて、ビミョーなQR画像が解釈の違いから
99回は銀行サイト
1回は詐欺サイト
につながるというようなことだと思う。

支払いQRコードの場合は、ペイメント会社が設定したチェックサムが機能する形で、上記のようなビミョーな判定は起こらない。

現金払い最強

例えば地震が起きたときに赤十字に直接送金できるQRですっていってfacebookで拡散させて、1/100くらいで自分に送金できるようになってるとボロ儲けてきるな

> 100人に１人といった一定の割合で、別のサイトなどに誘導

誤り訂正の処理に乱数でも使ってんのか？

本人の詳しい解説あった
https://news.yahoo.co.jp/byline/moriimasakatsu/20180624-00086884/

>>35
そこに掲載されてる、間違えるQRコードを読んだけど、
同じアドレスしか出ないな

>>41
大多数の人は問題なくてたまに当たる人がいるんだろうな。
よく見ると1ドットだけ灰色で明るさの関係で1にも0にもなるようになっているな。

>>50
そのグレーを白くしても黒くしても同じところに飛ぶね

>>80
違うところだった。labとlobの違い
もっと例題として分かりやすい例題にしろと

>>83
謝り訂正を使用しているから何文字も変えれないんでしょう
www.a.comというアドレスがあるとして
www-a.comと言うアドレスを犯人が取得する
本当はa.comホスト宛のアクセスをwww-a.comが貰うような形にするわけだ。

>>35
グレーのドットが誤認識されるのかな？

>>48
グレーを白と認識するか、黒と認識するかで飛ぶページが違うのかな？
そもそも誤り補正をガンガンかけた状態で正規のページと認識していて
グレーの認識しだいでは、別の不正ページに飛んじゃうとかか？

>>48
labとlobに転ぶように出来ているね

focusが甘い状態で読むと別のアドレスになるとか？
下半分隠されたら別のアドレスになるとか？

>>37
昔の携帯で甘い・距離が離れすぎてる・汚れてる状態で読むと大抵は失敗するが
たまに正しくないバグった文字列データが表示されてしまうのはあった

データが化けた場合も複数起これば辻褄があって問題なしとすり抜ける場合があるように
たまたまデータとして解釈できてしまうとそうなるんだろうと思ってた

日本はもっと上位の決済使ってるからQR必要無い

もうスマホならURLの文字列を認識できるでしょ
QRコードなんて可読性もないし上からシール貼られたら終わり

QRコード自体の問題ではないだろ
ハードウェアの方で画像を完璧に読み取ればごまかしようがない

>コードを読み取る際のエラーを修復する機能を悪用したもの
こんな機能は無くせばいいじゃんって素人は思うんだけど
何度もエラーが出て撮り直しとか不便になるのかなｗｗ

>>69
エラー訂正要らないとか馬鹿の極み

>>69
ＱＲコードなんで、誤り訂正符号の賜物だよ

灰色使われるのに対しては灰色を白か黒か判断させない
中間にグレーゾーン設けて３段階にして白と黒の判断のギャップを開かせて
グレーゾーンの濃さ部分があるとなるとエラーで強制終了ってのもあるかもなぁ

読み取ってページ遷移する前にURLしっかり見て確認するしかないけど
普通QRコードって読み取り後にURLを確認してから移動するもんじゃないの？
別に脆弱性利用しなくても、最初から不正サイトに誘導するような
QRコードだったりするかもしれないんだしさ

>>75
誰もそんなもん見てないよ

>>77
普通見るやろw

>>82
俺は見る
お前も見るだろう
それだけ

やっぱりフェリカのが信頼できるなぁ

1/100確率ってところがミソだな
絶妙にバレにくい

最初から不正サイトの情報を入れておけばいいじゃん
目視で読み取れるわけないんだから

>>91
100発100中ならばれる

100回に1回なら、下手したらずっとばれない
不正サイト被害があってＱＲコード怪しんでも
そのとき再現しなければ、他の経路を調査するだろ

110

中国で問題になってるのは上から偽QRの貼り付けてフィッシングサイトに飛ばす単純なやつだろ
それより高度だからこれからもっと問題になりそうと

114

クレカ使えばいいじゃん。アホか
中国は少額決済向けのクレカ網と与信機能の未完成でクレカシステムを構築できないから
QRでしのいでいるに過ぎないのに
日本が中国見習ってQR決済とか、本末転倒のアホ。

116

まあ写真撮ってコードを読み取るってのが元々無理がある

124

簡単なQRコードでもわざと複雑なQRにして解決！

ことにはならんの？

127

>>124
これは攻撃者がQR作成サイトとかソフトを作ってそれを他人に使わせて攻撃する事を考えられてる
正しいQRの格子１つや２つ書き換えても無理

159

urlは手打ちが1番安全

167

>>159
昔googleのURLのlとkを入れ換えた不正サイトがあったそうな(キーボードでlとkが隣で打ちま違いしやすい)

183

　灰色のブロックをマウスアイコンで隠したら、　偽サイトに飛ばなくなったな。
　はじめから偽サイトにとんで２、３回に一回は偽サイトにいくかんじだったが。

　素の状態でのＱＲコードは、あんまし信用できないってことはなんとなくわかるが。
だからといって脆弱性というほどのものでもないような。読者をペテンにかけてるかんじ。

188

>>183
そうそれ、試しに他のドットも変えてみればいい
これはグレーのところを誤読して欲しいってのが見え見え

198

>>188
わかりやすくしてくれたんだろうけど。
色も黒白以外なら気にもとめないだろうし。誤認できる割合も調整できるのであれば
信用できる企業、サイトのＱＲコード以外はゴミってなってしまうかんじ。
　ハッキングで画像すりかえられたら、それはそれで対応できないし。

ＱＲコードはウェブサイトのリンク用途としては使えないって話なのかもしれないな。
　ほかの用途でがんばればいいとおもうｗ

200

>>198
それに近い、メールでURLむやみに踏まないのと同じように、
QRコードも気をつけましょう、位の話

これはアピールが上手い

186

これは、かなりヤバイな。
こうやって公開すると、弱点を探し出して使う奴がでてきそうで、逆に怖いわ。

192

フリーサイトで作ったとして、適当なドットを１つか２つ反転させてみて読み込ませればすぐに分かる
まともなQRならそれでも意図した動作になるが、このやり方だと飛びたいサイトでもフィッシングサイトでもない所に飛ぶはず

229

QRコード取り替えるやつは中国で流行ってたな

230

QRコードに埋め込めるのはべつにURLだけじゃないんだから、それをURLかどうか判断するのはアプリ側なわけ。
つまり、そのURLが不正なものかどうかの判断もアプリ側で可能。
そのためのロジックだけ確立して公開すれば良い。

関連記事