soaraによる
2009年02月21日 10時40分の掲載
キャンペーンサイトです、と言われると騙されるかも部門より。
キャンペーンサイトです、と言われると騙されるかも部門より。
あるAnonymous Coward 曰く、
携帯電話にQRコードリーダー機能が搭載されるようになり、最近では色々なところで見かけるQRコードですが、これを悪用する事例があるようです(Web担当者Forumの記事)。
その手口は非常に簡単で、町中の看板やポスターなどに印刷されているQRコードの上に、誘導したいサイトの情報を入れたQRコードを貼り付けるだけ。知らずにユーザーがQRコードをスキャンすると、別のサイトに飛ばされる、という仕組みです。
いまのところ大きな被害はでていないのですが、たとえばキャンペーンサイトなどの場合、本物のサイトとそっくりなサイトを作って個人情報を収集する、といったことも十分考えられます。
タレコミ子もこのQRコードの危険性にはまったく気付かずに利用していましたが、リンク先URLについてはちゃんと確認しよう、と思いました。
|
|
関連ストーリー
|
|
QRコードの問題か? (スコア:4, すばらしい洞察)
>その手口は非常に簡単で、町中の看板やポスターなどに印刷されているQRコードの上に、誘導したいサイトの情報を入れたQRコードを貼り付けるだけ。
こんなの、似た偽URLのシールを貼っても有効だし、偽電話番号を貼っても同様じゃないか。
QRコード独自の話じゃないだろう。
コメントを書く
対策案 (スコア:2, すばらしい洞察)
ドメイン名だけの短いURLを確認せよというのなら、URLを手入力させた方がよくないか?
しかしそれでは typo の危険があるから、単に『ドメイン名だけの短いもの』ではなく視認性のよい文字列でかつ短い名のドメインURLにせよという方が気が利いていそう(この時点で手入力ではうざったい文字の羅列を気にせず入力できるQRコード唯一のメリットが失われそうだ)。または『信頼できそうな看板のQRコードか確認する』とか(w
# QRコードは使ったことがないのでID
eComStation 2.0 Silver Release (RC7) http://ewiki.ecomstation.nl/ecomstation20rc7whatsnew
コメントを書く
シール対策 (スコア:2)
それはQRコードの部分を特大にすることだ!!
でかいシール作って貼るコストを考えると、ちょっと手を出しにくいだろう。
1m×1mのシールなんて誰が作ると思う?
コメントを書く
Re:シール対策 (スコア:2)
シールが大きくなれば、シールと紙の境界部分は相対的に小さく見えるようになるので、
逆に危険度が増すかもしれません。
コメントを書く
親コメント
Re:シール対策 (スコア:2)
汎用的に使えるじゃないですか
どれぐらい書き換えれば違うURLになるんだろう
コメントを書く
親コメント
携帯サイトでもやっぱり証明書は大切だなぁ (スコア:1)
携帯電話のブラウザの場合,オレオレ証明書は例外的に出会っても受け付けないものが多いようなので,携帯サイトにこそサイト証明書は大切なのかも,と思いました.しかし携帯電話のブラウザにおいてHTTPSで接続しているかどうかがあまり目立つようにインジケートされていないようにも感じます.
自分が使ったことのある数台の携帯電話についてたブラウザだけがサンプルなので,「ようなので」とか「感じます」の域を出ません.
ペーストビン [windy.cx]
コメントを書く
Re:携帯サイトでもやっぱり証明書は大切だなぁ (スコア:2, 参考になる)
携帯で使えるオレオレじゃない証明書が $100/年以下で買えてしまうのに、オレオレ証明書を使う意味はないですよね。
で、証明書があったところで、アクセスして毎回証明書の内容を目で見て通信相手が信頼できるか確認、なんてしないので、今回の件の対策にはならないです。
(ちなみに$100以下で買える証明書は3G端末のみサポートしてますが、それでケータイWebユーザの9割以上を対象にできるので十分でしょう)
>しかし携帯電話のブラウザにおいてHTTPSで接続しているかどうかがあまり目立つようにインジケートされていないようにも感じます.
「SSL通信を開始します」とかめちゃくちゃウザい(大半の人には意味が分からない)ダイアログが出ますよ。
コメントを書く
親コメント
Re:携帯サイトでもやっぱり証明書は大切だなぁ (スコア:2, 参考になる)
>最近は使えるようになった(またはそろそろなる)のですかね?
携帯サイトやってますけど、ドコモ以外はだいたい使えます。
ドコモだけ使えませんので、ユーザ管理ページとか別に作ってます。
URLにセッションID埋め込んだり、<input type=hidden ~~>で渡したりしながら。
コメントを書く
親コメント
QRコードは(株)デンソーウェーブの登録商標です (スコア:1)
と書かないといけないってことはないのですか?
QRコードについて [denso-wave.com]の、「QRコードの知的財産権について」より、
(強調は俺が勝手に)
ということで、QRコード自体をプリントしてるかどうかには触れておらず、QRコードという言葉に対して課せられているようなのですが。
そもそもこんなの無効ですか?
ファミレスの店内でも何かのチラシでも、「QRコードを云々かんぬん・・・」って書いてる印刷物に
「QRコードは(株)デンソーウェーブの登録商標です」って書いてるのは少ないようですし。
# ここはホームページじゃねぇって議論は別の話として・・・
コメントを書く
Re:QRコードは(株)デンソーウェーブの登録商標です (スコア:2, おもしろおかしい)
http://www.qrcodeblog.com/qr/0501/050131_qr_cube.gif [qrcodeblog.com]
こういうの?
コメントを書く
親コメント
これをWebでおこなう可能性 (スコア:1)
不正アクセスによるサイトの書き換えの際、QRコードだけを書き換えて偽サイトに誘導するような事例はどうだろう。
アンチウイルスでは検出できない(QRのデコードをしてURLをチェックする機能の実装は可能だけど)は働かないし、
サイト運営者がログチェックなどで見落とせばシールと同様の効果が得られるかも知れない。
コメントを書く
2005~2007年頃 (スコア:4, 参考になる)
高木氏のプレゼンPDFは後日配布版2005年4月とありますが(PDFの日付は2006年3月)、ちなみにタレこみの元ネタは2007年8月の雑誌記事をWebに再録したもの。あと、後者の結論は分かりやすいURLがいいというもので、それには日本語ドメインがいいね、というのがちょっと...
検索してて気づいたが、QRコードの偽装の手口にこんなものがあったんですね(今は解決済みのはずだが)。
バーコード (2次元コード) リーダーご利用にあたっての注意点 2005年4月14日 [kddi.com]
この件に関する高木氏の詳しい解説>高木浩光@自宅の日記 [takagi-hiromitsu.jp](元は2005年4月)
検索してると、QRコードでフィッシング対策という記事が引っかかるのが、ちょっと微妙...
##ベストエフォートより、リーストエフォット
コメントを書く
親コメント
Re:QR携帯って普通なの? (スコア:1, フレームのもと)
QRコードしか書いてない広告などがよろしくないことには
賛同します。しかし、今は
という携帯を売っていないと思われます。
便利だから、キーボードがあろうとなかろうと、
QRコードリーダーは付けてほしいとも思いますけどね。
コメントを書く
親コメント
Re:QR携帯って普通なの? (スコア:2, おもしろおかしい)
コメントを書く
親コメント
Re:ちょっと (スコア:1)
よっぽど分けたいなら phishing でいいんじゃないですかね?
コメントを書く
親コメント
Re:ちょっと (スコア:2)
あれ、fishingとphishingって発音違うの?
以上
コメントを書く
親コメント