2018年06月24日

QRコードにセキュリティー上の弱点 不正サイトに誘導も

1 : ムヒタ ★ :2018/06/24(日) 04:18:48.18 ID:CAP_USER.net
(省略)

このQRコードのセキュリティについて、神戸大学の森井昌克教授らのグループが検証したところ、コードを作成する際に不正な操作を加えると、本来の情報に加えて、偽の情報を仕込むことができることがわかったということです。

これはコードを読み取る際のエラーを修復する機能を悪用したもので、こうして作られたQRコードを読み取ると、多くの場合は本来のサイトに誘導されますが、100人に1人といった一定の割合で、別のサイトなどに誘導することができるということです。

(省略)

全文
2018年6月23日 18時01分

https://www3.nhk.or.jp/news/html/20180623/k10011492631000.html








おすすめ
一流企業に勤める俺は必死で頑張ってここまで来たのに俺と結婚するカワイコちゃんは中高遊びまくったのに俺の年収半額掠め取るんだろ?

神戸市「六甲アイランドの衰退が止まらない…」 中心施設から全テナント撤退

ディズニーランド従業員、10人に1人がホームレス化して苦しんでいる模様

俺のこと振った女wwwwwwwww

役員「おっ、最近会社儲かってるやん!……せや!」




2 : 名刺は切らしておりまして :2018/06/24(日) 04:27:18.27 ID:5qHsBkm+.net
AI「デジタルのアナログ化


3 : 名刺は切らしておりまして :2018/06/24(日) 04:45:25.77 ID:BFnIVQie.net
中華ソバに検証させれば完全


4 : 名刺は切らしておりまして :2018/06/24(日) 05:00:19.16 ID:LjwyKrpG.net
始めから分ってたことじゃん
どこのアホが説明するんだ



30 : 名刺は切らしておりまして[sage] :2018/06/24(日) 10:23:48.81 ID:EbPBzB/d.net
>>4
この手段を初めから分かってたってお前天才かよ



32 : 名刺は切らしておりまして :2018/06/24(日) 10:36:40.02 ID:dI29HiYD.net
>>30
すでにチャイナとか問題になってるからな



33 : 名刺は切らしておりまして[sage] :2018/06/24(日) 10:41:10.82 ID:EbPBzB/d.net
>>32
何十何百何千分の一の任意の割合で偽装サイトに飛ばすっていうQRコードが既に中国にあったのか?



43 : 名刺は切らしておりまして[sage] :2018/06/24(日) 12:12:36.49 ID:fJxlJBk3.net
>>32
中国のヤツは振込先がQRになってて、振り込むだけだよ
相手は振り込まれたのを確認する、っていう単純なやつ

ただそれはポイントみたいなもんだから、不正があったら現金化
するときチェックされる、じゃなかったかな



5 : 名刺は切らしておりまして :2018/06/24(日) 05:07:28.78 ID:dyaTfC3/.net
えええ
今は中国の殆どがQR決済とか聞いたが
使えなくなったら経済麻痺するんじゃね?w
信用できない新しいものにすぐ飛びついてアホだな



6 : 名刺は切らしておりまして[sage] :2018/06/24(日) 05:13:10.96 ID:6hnKvQBd.net
そもそもなぜqrコードなのか


7 : 名刺は切らしておりまして :2018/06/24(日) 05:15:24.87 ID:B5xo012q.net
>>6
たんに小売店が負担するコストが低いから
セキュリティはここでも指摘されている通り、最低限でしかない
Suicaとかのようなものの方がはるかに安全



8 : 名刺は切らしておりまして :2018/06/24(日) 05:16:23.68 ID:j6XmPKoG.net
わけやか訳の分からんバーコード読まなきゃいい話。

認証用のバーコードなら何ら問題はない。



10 : 名刺は切らしておりまして[sage] :2018/06/24(日) 05:17:27.79 ID:1qZqW979.net
QRなんか、現金に信用が無い国で使われるだけのローテク
シール1枚で詐欺れることは以前から報道もされてた
我が国では、普通にFeliCaを使い続ければ良いだろ
FeliCaの設定や契約さえ面倒がる奴がQRなんか使うとは思えんしな



12 : 名刺は切らしておりまして :2018/06/24(日) 05:24:30.99 ID:8t41yh/A.net
そもそも中国とか露店でQRコードあっても、それが偽造していなくても怖すぎるわw
店自体が堂々と不制してそうで



13 : 名刺は切らしておりまして :2018/06/24(日) 05:24:48.20 ID:hCSPuI9c.net
>>1
『いかに大学の研究がムダであるか、神戸大学によって実証されました。』の間違いでは?



14 : 名刺は切らしておりまして :2018/06/24(日) 05:25:06.53 ID:fJxlJBk3.net
それで
中国ではどうゆう対策とってるんだろ
まさかそのままとか?



41 : 名刺は切らしておりまして[sage] :2018/06/24(日) 12:06:43.45 ID:D6jHp0iM.net
>>14
とってないだろ
乞食だってQRコードで振り込んでもらうんだから誰でも何でも作れる状態



15 : 名刺は切らしておりまして[sage] :2018/06/24(日) 05:42:41.07 ID:T5jKGT8a.net
中国はこの手の報道は規制されるかもだな


16 : 名刺は切らしておりまして :2018/06/24(日) 05:53:03.12 ID:5U3fu+h1.net
危険性の提示とその不正対策を研究し開示しなさい。


17 : 名刺は切らしておりまして :2018/06/24(日) 06:02:50.13 ID:hCSPuI9c.net
>>16
公開鍵で暗号化したデータをQRコードで記録、カメラで読んだQRコードを特定URLのサイトへ
httpsリクエストで投げて、秘密鍵で複合化したデータをjson形式等で得るとか、QRコードを
中継するサイト側で、本来のサイトへ飛ばすといった仕組みを作ればいい。

でもQRコードは誰でも簡単に作成・印刷できるから、偽のQRコードと、偽のWebサイトをセットで
運用されたら防ぎようがない。 無関係な第三者の個人情報や、クレカを使って、正規のサーバ
証明書を取得するのも、不可能ではない。



19 : 名刺は切らしておりまして[sage] :2018/06/24(日) 06:22:27.07 ID:fJxlJBk3.net
>>17
>偽のQRコードと、偽のWebサイトをセットで 運用されたら防ぎようがない。 


それなら俺でも簡単に出来そうだわ
店員が見てないときシールをはればいいもんね



45 : 名刺は切らしておりまして[sage] :2018/06/24(日) 12:28:36.02 ID:ewMGLPae.net
>>17
復号化、な。



18 : 名刺は切らしておりまして[sage] :2018/06/24(日) 06:17:17.40 ID:kSfmYUHg.net
スーパーにあるコードの上から、偽のコードを貼っとけば自動的に別の店の売上になるの?
イタズラだけでも大混乱じゃん



20 : 名刺は切らしておりまして[sage] :2018/06/24(日) 06:59:04.26 ID:iodertZ6.net
10年以上前からFeliCaあんのに、
なんで今さらQRにしなきゃいけないのか
意味分からん。退化してんじゃん。

中国人がアリペイやウィーチャットペイを
使えるようにしとけばいいだけなのに、
日本人にも強制すんな、LINEと楽天。



22 : 名刺は切らしておりまして :2018/06/24(日) 07:14:04.04 ID:wx+2fJlH.net
>>20
そんな前からあるのに結局流行らなかったね



28 : 名刺は切らしておりまして :2018/06/24(日) 09:33:39.26 ID:Gno6OdVh.net
>>20
まず流行らないだろうし、使ってる人は被害にあって、LINEと楽天が損害賠償で潰れるだけだろ
アメリカとかEUで訴訟起こされたら酷いことになりそうだし



29 : 名刺は切らしておりまして :2018/06/24(日) 10:02:02.77 ID:gDxXFYz1.net
>>20
NFCのタグを作るよりQRコードを印刷するほうが
遥かに安いからな。
コストの問題。



21 : 名刺は切らしておりまして :2018/06/24(日) 07:00:30.04 ID:ue0L4hxn.net
qrなんてただの文字列に変換されるんだから省略urlとなんも変わらんわ


23 : 名刺は切らしておりまして[sage] :2018/06/24(日) 07:23:30.28 ID:w2XtufVG.net
今でも輸入牛のバーコードシールを神戸牛にはってセルフレジで支払えば安く買えるだろ?


25 : 名刺は切らしておりまして :2018/06/24(日) 08:15:52.76 ID:XadYMeui.net
エラー前提の仕組みに完全性を求めてもね。
1割は間違う仕様だろ。 2回読めば1%だよ。



27 : 名刺は切らしておりまして[sage] :2018/06/24(日) 09:19:57.46 ID:L3h/Qf8H.net
>>25
QR読み込みなんて運が悪いとなかなか認識しなくてイライラするのにそれを2回とかないわ



26 : 名刺は切らしておりまして :2018/06/24(日) 08:48:38.95 ID:CUzFFXZd.net
決済に使うQRコードって貼ってあるものではなくてスマホに表示されてるQRコードをレジとかで読ませるものだと思ってたわ


31 : 名刺は切らしておりまして[sage] :2018/06/24(日) 10:32:59.11 ID:UAEuy1XB.net
マスコミって、やけに中国のQR決済を絶賛してるな。
日本には、電子マネー決済があるのに



37 : 名刺は切らしておりまして[sage] :2018/06/24(日) 10:59:05.34 ID:VWRBEsm/.net
>>31
普及しないと意味ないからな。



34 : 名刺は切らしておりまして :2018/06/24(日) 10:42:59.87 ID:/aCV/OHD.net
>>1
金融庁ゴリ押しの国策フィンテックが有能て印象づけたいだろうと思う。
わざわざNHKがトップで流してるし。

そもそも中国のQR決済て単純に振込む行為の情報だけじゃなかったっけ?
日本のQR決済はわざわざ脆弱な手順仕組みを取り入れてるんじゃなかったっけ?



35 : 名刺は切らしておりまして[sage] :2018/06/24(日) 10:45:49.79 ID:M7FUmafI.net
これ「QRコード」に、偽の情報を仕込むことができるセキュリティ上の弱点なのか?????

金融機関などにつながると偽装したQRコードが表示されていた場合って、そのサイトの脆弱性だろ
改ざんしたQRコードを正しいコードの上から貼り付ける手口ってのもQRコードの脆弱性じゃないだろ
国内でもインターネットに掲載したQRコードで、悪質なサイトに誘導してってのもQRコードの脆弱性と違うだろ



36 : 名刺は切らしておりまして[sage] :2018/06/24(日) 10:50:12.30 ID:EbPBzB/d.net
>>35
QR読み取りのエラー訂正を利用して一定の割合で目的とは違うサイトに飛ばすって話だぞ



38 : 名刺は切らしておりまして :2018/06/24(日) 11:08:53.63 ID:zZh0Kupu.net
>100人に1人といった一定の割合で・・・誘導
こいうの、なかなか、気が付くの大変そーだなぁ



39 : 名刺は切らしておりまして :2018/06/24(日) 11:38:23.86 ID:JoBJovJu.net
QRコード決済は、カメラのついたスマホなら実装できる汎用性が受けた
安いスマホしか持てなかった層でも使えるものだった
しかしもはやそんな層は中国にはいない
役割の終わった決済方法であることは明白



40 : 名刺は切らしておりまして[sage] :2018/06/24(日) 12:06:00.90 ID:D6jHp0iM.net
中国でもQRコードすり替えられて振込口座が変わってるとかあるらしいな


42 : 名刺は切らしておりまして[sage] :2018/06/24(日) 12:08:10.12 ID:pIc2a/MQ.net
SNSのプライバシーと同様に、多少の詐欺行為は目をつぶるのいい加減さで成立する決済方法


46 : 名刺は切らしておりまして :2018/06/24(日) 12:34:28.43 ID:7oU+aFht.net
読み取るのめんどくせーから廃止で


47 : 名刺は切らしておりまして[sage] :2018/06/24(日) 12:42:01.59 ID:z/dfjOXc.net
スマホ取り出し、カメラ起動して読み込ませる。下手すると現金より時間かかる。電子マネーなら、一瞬で終わるのに


48 : 名刺は切らしておりまして[sage] :2018/06/24(日) 13:09:13.22 ID:RO+D+yJi.net
>>47
中国じゃ現金が信用できないからな。
電子マネーはそれなりに設備投資費用がかかるし、スマホも
対応していないものも多いからな。



49 : 名刺は切らしておりまして[sage] :2018/06/24(日) 13:31:35.62 ID:KKx3ebUc.net
はあ?
QRコード改竄できるなら何でもできるだろ
って思ったけど1/100とかの確率で他のサイトに飛ばせるのか
まあ気を付けるに越したことはないな
気になるAmazonの本


1.  名前 名無しさん@まとめたニュース   2018年06月24日 16:26 ID:pXVvWupb0
>>45
>>復号化、な。


きっっっっっっも
2.  名前 名無しさん@まとめたニュース   2018年06月24日 16:58 ID:DzjLCYsp0
複合化、なwww
これは確かにきもい
3.  名前 名無しさん@まとめたニュース   2018年06月24日 16:58 ID:2En0AGZ.0
Felicaは専用端末に電源、通信端末が必須。QRはコード印刷した紙だけなんで導入コストが雲泥の差
4.  名前 名無しさん@まとめたニュース   2018年06月24日 17:01 ID:0ifjrXAb0
今の中国はマジでQRコードがクレカ代わりやぞ
5.  名前 名無しさん@まとめたニュース   2018年06月24日 17:17 ID:QWPx75g70
人の言葉つかまえて笑ってるやつの方が遥かに気持ち悪いと思うがなw
6.  名前 名無しさん@まとめたニュース   2018年06月24日 17:34 ID:HI.BOIXJ0
※3
その分セキュリティはザルだけどな
完全に販売店を信用することになる
7.  名前 名無しさん@まとめたニュース   2018年06月24日 18:04 ID:2pL5fJs70
中国なんてQRコード印刷したの貼り付けて在るだけ。あれ上から不正なQRコード貼られても気づかないよね。
8.  名前 名無しさん@まとめたニュース   2018年06月24日 18:05 ID:00.GowD.0
QRだけでチェックは不可能だチェックするならQRコードを使うソフト側でチェックしないと
9.  名前 名無しさん@まとめたニュース   2018年06月24日 18:07 ID:ETfrbGde0
勘違いしてる奴いるけど、中国のQRコード決済って、読んだだけで勝手に決済とかされないぞ?
日本にあるようなゴミシステムを想像して、QRコードがダメだとか行ってる時点で、あたまわるすぎなんだけどw
ほんと日本人ってITとかシステムに弱いよな。
10.  名前 名無しさん@まとめたニュース   2018年06月24日 18:13 ID:u2931Mn30
0Rの脆弱性を利用したアタリURLが出たら当選w
11.  名前 名無しさん@まとめたニュース   2018年06月24日 19:59 ID:2En0AGZ.0
※6
Felicaも販売店の信用せざるを得ない。個人認証がQR読んだスマホか非接触ICかの違いなだけだぞ

12.  名前 名無しさん@まとめたニュース   2018年06月24日 23:46 ID:Mq4qcJ.T0
※9
そうそう、QRコード読んだからって言って、決済されないよ
ウェイポーなんかは、単に振り込み先がQRコードになっているだけ
でも、その振り込み先をよく確認しないで、決済するとQRコードが偽装だったら、別のところに振り込まれるだけ
このエラー訂正を利用したQRコードを読み取って決済すると、100回に1回別の振り込み先になってしまって、その時よく確認しないで決済しちゃうような奴に当たると丸儲けになるって仕組み
もし、その時振込先が違うことに気付いたとしても、もう一回やってみてくださいと言えば正しい振り込み先になる

欲張り過ぎずにばれにくい仕組みになっているところが秀逸。黒崎義裕さんも100回に1回という発想が素晴らしい。しかももう1回QRコードを読めば正しく読み込める、このエセ平等、博愛的ごまかしが秀逸・・・と言ってくれること間違いなしだと思う
13.  名前 名無しさん@まとめたニュース   2018年06月25日 06:49 ID:tZzqGmLu0
複数回読み取れば確率はだいぶ下がるな


コメントする

名前
 
  絵文字
 
 
コメントを投稿してくれる方へ
いくつかのエロい単語やURL等は使えません。
下記の投稿は無断で削除する場合があります。予めご了承ください。
・荒らし行為(宣伝行為含む)
・犯罪的なコメント
・差別的なコメント
・過激な下ネタ

他ブログのネタ満載 アンテナページへ


スポンサードリンク
QRコード
QRコード
LINE読者登録QRコード
LINE読者登録QRコード
記事検索
月別アーカイブ
最新記事
スポンサードリンク