最近は電柱の貼り紙や交通機関、公共施設などでもよく見掛けるようになった![[External]](/~yano/parts/extlink.png)
QRコード。
 |
| YANO's digital garageのQRコード |
フィッシング対策協議会が纏めた2009年2月の国内フィッシング情報届出状況で、QRコードを使ったフィッシングが登場した事が報告されている。
残念ながら上記リンクからは実際にあった攻撃事例の情報には辿り着けていないのだが、印刷された正規のQRコードの上に重ねて偽のQRコードのシールを貼り付ける事で、悪質なサイトに飛ばせて不正に個人情報を搾取したりする悪用が考えられるという事だ。
この手法はURLや電話番号などすら偽る事が可能でありQRコードに限った話ではないのだが、URLや電話番号などと違って「人間には読めない」事から例え明らかに怪しい情報であってもパッと見ただけで見分けられないという事情がある。
例えばURLのドメイン名が会社名や組織名とそぐわなかったり、市外局番が違ったりする「怪しさ」に気付く余地があるが、QRコードではそうもいかない。その上、ちまちま入力する手間が掛からないQRコードの安易性を考えるとリスクが格段に高いと言える。
特に携帯電話のブラウザにはアドレスバーが無い事から普段からURLを意識せずアクセスしている人が多いと思われるので、QRコードからジャンプする時にはURLを確認するように注意されたい。
なお2005年以前のau携帯電話のバーコードリーダでジャンプ先URLが偽装されるという問題もあったので、対象機種のユーザーはバーコード (2次元コード) リーダーアプリケーションをバージョンアップしておくようオススメする。
尤も、最近は携帯電話からの入力しやすさを最優先して意味不明でも非常に短いドメインを採用する例もあるそうなので、ドメインが表示されたところで真偽の判断は難しいかもしれないが、初めてのサイトにアクセスする際にはURLとドメインを意識するようにしましょう。
【参照】
●CNET Japan http://japan.cnet.com/
┗QRコードを使ったフィッシングが登場、URLの確認を--フィッシング対策協議会が呼びかけ 2009年4月1日
●フィッシング対策協議会 Council of Anti-Phishing Japan http://www.antiphishing.jp/
┗2009/2 国内フィッシング情報届出状況 2009年3月30日
●スラッシュドット・ジャパン http://slashdot.jp/
┗QRコードを使ったフィッシングに気をつけろ! 2009年2月21日
●Web担当者Forum http://web-tan.forum.impressrd.jp/
┗QRコード〜人間には読めないURLの罠/知って得するドメイン名のちょっといい話 #9 2009年2月19日
●高木浩光@自宅の日記 https://takagi-hiromitsu.jp/diary/
┗再掲:au携帯電話のバーコードリーダでジャンプ先URLが偽装される(2005年4月) 2007年2月24日
●QRコードドットコム http://www.qrcode.com/
