QRコードを物理的に乗っ取ってマルウェア配布に使う攻撃が増加 831
ストーリー by hylom
指先一つで感染さ 部門より
指先一つで感染さ 部門より
あるAnonymous Coward 曰く、
携帯電話を使ってスキャンするだけでウェブサイトに移動できるという手軽さで多用されているQRコードだが、これを利用した新たなマルウェア配布方法が増えてきたそうだ(Help Net Securitiy、本家/.)。
QRコードを使った攻撃は以前からあったが(QRコードを利用した攻撃に注意、QRコードを使ったフィッシングに気をつけろ!)、最近目立っているのが既存のQRコードの上に不正なQRコードを貼り付けることで不正サイトへ誘導するというもの。街の中心部や空港など人が多く集まる場所がターゲットとなっており、広告やその他お知らせなどに掲載されているQRコードに不正QRコードが貼付けられるケースが確認されているという。
QRコードだけから不正なものかどうかを見分けるのは難しく、スキャンしてしまった人を簡単にフィッシングサイトや悪意あるサイトのURLへ誘導することが可能とのこと。
身を守るには、開く前に安全なウェブサイトかを確認してくれるQRコードリーダーを利用するのが良いとのことだ。
で... (スコア:1)
"開く前に安全なウェブサイトかを確認してくれるQRコードリーダー"
がマルウェアだったり、正しいサイトを誤ってブロックしたりする... と。
# リンク先のURLぐらい、確認しようよ。
Re:で... (スコア:4, 参考になる)
たとえばAndroidのスマフォだと、Google Playで検索して出るQRコードリーダーの大半は「ネットワークへのアクセス」と「個人情報の読み取り」「電話帳の読み取り」が必要だったりするんですよね。
(インターネットアクセスは兎も角、後者は何に使うのやら、という感じです。)
「今は」問題ないQRコードリーダーでも、いつマルウェアに化けるかと思うと怖くてなかなか使えないのですが……。
Re:で... (スコア:1)
自分の連絡先をQRコードにして送信したり、QRコードから読み取った連絡先を保存したりする必要がありますからね
Re:で... (スコア:1)
特定の1エントリだけ欲しいならIntent使えよと言いたい
Re: (スコア:0)
「ネットワークへのアクセス」と「電話帳の読み取り」のコンボは強力すぎて、
両方付いたアプリはインストールする気がなくなりますね…
Re:で... (スコア:1)
「安心な電話帳の読み取り」と「危険な電話帳の読み取り」って区分けして前者はいちいちアクセスする時に確認がくるようになってれば良いんじゃないかな。
Re:で... (スコア:2)
・アプリの評価で「いちいち確認してきてウザイので☆1つ」とコメント
・ガジェット系ブログで「危険な電話帳の読み取り」でのインストールを推奨する記事が投稿される
当然末尾には「ただし自己責任で」を忘れない。
みえる…みえるぞ…
プリインストール最強? (スコア:0)
QRコードリーダーなんて日本で販売しているAndroid携帯電話ならプリインストールされてるんじゃないの?
プリインストールソフトならマルウェア化のリスクも避けられますし、セキュリティーリスクも低いでしょう。
(もしプリインストールソフトでマルウェアだったらニュースに取り上げられるレベル)
Re: (スコア:0)
全てを調べた訳じゃないですが、「日本で販売している」ではなく「日本メーカーの」
が一応の目安になるかな、と。
海外メーカーだと、入っていない or Google Playにある(メーカー製ではない)
ソフトがプリインされていることが多い、といった印象があります。
Re:プリインストール最強? (スコア:2)
キャリアがDoCoMoの場合、"ICタグ・バーコードリーダー"(QRコードにも対応)がDoCoMoから提供されているが、プリインではなく、DoCoMoのサイトからダウンロードとなる。
キャリアが必ずしも信用できるわけではないが、契約者なら個人情報を渡してしまっている。
手持ちの端末はXPERIAだが、リーダーはプリインされていなかったと思う。ソニエリ時代の製品なので、海外メーカー扱いなのかも知れないが。
Re: (スコア:0)
Re: (スコア:0)
ストーリーの主題はそうだけど、コメントの主題はアプリの話
Re: (スコア:0)
1)「"開く前に安全なウェブサイトかを確認してくれるQRコードリーダー"」があるといいな
2)Google Playで探してみよう。あれあれ。。。?
あれ、という流れがマンマ書かれてるんだけど、そんなに読み取りづらい?
Re:プリインストール最強? (スコア:1)
QRコードにしてないから読み取りづらいんですよ(違
Re: (スコア:0)
読み取った内容をintentで一部のアプリには投げられるけど、単純なコピペが出来ないとか残念な仕様だったり。
Re: (スコア:0)
「ネットワークへのアクセス」のみのQRコードリーダーが開発されたが、実は遠隔操作ウィルス込みだったという時代が来るのですね。
#可能性を否定しきれないところが怖い
Re:で... (スコア:1)
URL確認してもbit.lyだったりするわけですよ
Re:で... (スコア:2)
なるほど...
"そういうところには、行かない" のが正解なんですけどね。
Re: (スコア:0)
自社媒体に乗せるアドレスに自社ドメイン以外の短縮URLを使っちゃダメですよ。信用問題ですからね。
と、クライアント企業には口を酸っぱくして言っているのですが、
まだまだ周知されていないようで、まことに申し訳ございません。
Re:で... (スコア:2)
どれくらいの人が注意しているかわかりませんが、
まっとうな会社の人には、短縮URLだった時点でアクセスしなくなる人がいることを
知っていてもらえれば十分かと。
Re: (スコア:0)
短縮URLサービス提供側で、UAがスマホだったらリダイレクトじゃなくURLを見せる、
くらいしてくれてもいいのにね。
自前でどうにかするなら、通信内容書き換えるL7スイッチ(というかコンテンツ変換可能な
Proxy)通すか、自動リダイレクト有無を選べるブラウザ使うくらいしかないですかね。
後者の機能があるブラウザは、スマホ用があるのか知りませんけど。
余談ですが、アンカー書かれてないメッセージボディを返してくる短縮URLサービスは
どうにかして欲しいと思う。
Apache標準機能にすら劣るのはどうなんだ、というね。
せめてメッセージボディなしなら、自動リダイレクトoffにしておくと、自前でページ
つくってくれるブラウザも多いのに。
広告やその他お知らせなどに掲載されているQRコードに不正QRコードが貼付けられるケースが確認されてい (スコア:0)
へーw
いろんなこと考えるなぁw
笑いながら感心したw
Re:広告やその他お知らせなどに掲載されているQRコードに不正QRコードが貼付けられるケースが確認さ (スコア:3, 参考になる)
古くは2005年あたりにも指摘されてました [srad.jp]ね
短縮URL使われると余計にヤバいよねぇ
Re:広告やその他お知らせなどに掲載されているQRコードに不正QRコードが貼付けられるケースが確認さ (スコア:2)
ポスターなどに貼り付ける手間を考えると、膨大な被害者数ということは考えづらいが、逆にターゲットを限定しやすいメリットがある手法か。大企業のビルでもロビーぐらいなら簡単に忍び込めるところが多いし。
Re:広告やその他お知らせなどに掲載されているQRコードに不正QRコードが貼付けられるケースが確認さ (スコア:1)
何がキツいってポスターのQR上書きした場合、ロケーションの絞り込みまで自動で行われちゃうってことなんですよ。
そのQRからアクセスしてきた人は、そのQR貼った所にいたことはほぼ、間違いないわけだから。
Re: (スコア:0)
逆にWeb上でQRコードで出している様な奴は凄く危険でしょ。
画像一個だけ差し替えて、尚且つ見た目には差異が判り辛い。
差し替えられた人間が目視して、直ぐに気が付くかどうか。
Re: (スコア:0)
サーバ上のファイルいじられるほどの状況なら、もっと別なことを心配した方が良くないか?
Re:広告やその他お知らせなどに掲載されているQRコードに不正QRコードが貼付けられるケースが確認さ (スコア:1)
QRコードの横に注意書きを書いておけ (スコア:0)
「ここにシールなどが貼られていたらそれは偽物だから読み込むな」って。
あるいはQRコードの部分をシールを貼れないように粉っぽくするとか。
Re:QRコードの横に注意書きを書いておけ (スコア:1)
「ここにシールなどが貼られていたらそれは偽物だから読み込むな」って書かれた上にシール張るんですよ!
Re:QRコードの横に注意書きを書いておけ (スコア:2)
Re: (スコア:0)
見るなよ 絶対に見るなよと書いておく
# むしろ見ちゃう
内容がわからないのが駄目なんだよ。 (スコア:0)
OCRでURLを読めばいいじゃないか・・・。
カメラのOCRの標準化って中々進まないよな。
Re: (スコア:0)
URLテキストが後から貼られたシールだったり・・・・
Re: (スコア:0)
OCRで読もうとしても、URL以外の周囲の文字も読んじゃったり、
lと1と/と|、0とOとo が見分けつかなかったりとかして非常に難しい。
URL は1文字でも間違えたら役に立たないから、問題が多いんだろうね。
OCR専用のフォントを設計して精度を上げるてもあるけど、それでもQRコードに叶わないだろうしなあ。
いま Google Goggles を久しぶりに使ってみたら、『lv1』を『M』と読みやがった
Re:内容がわからないのが駄目なんだよ。 (スコア:1)
> いま Google Goggles を久しぶりに使ってみたら、『lv1』を『M』と読みやがった
王子さまLv1が王子さまMになっちゃうな
Re: (スコア:0)
だいたいあって・・・る・・・?
Re: (スコア:0)
URL は1文字でも間違えたら役に立たないから、問題が多いんだろうね。
役に立たないならまだいいです。
1とlとIは読み間違えた場合の別ドメイン取得されると、OCRの責任にされてしまいます。
例
s1ashdot.jp
sIashdot.jp
slashdot.jp
#正解はどれ?
Re: (スコア:0)
ガラケーは、ほぼ標準でOCRアプリが付いてたよね