QRコードによるフィッシング
印刷媒体からQRコードで携帯電話からウェブに誘導するのが一般化しているが、これってフィッシングの温床になりうるなと思ったのが一昨年。特に、キャンペーンなどで比較的大きめのポスターなどにQRコードが印刷されているパターンが危ない。
印刷されているQRコードの上に気付かれないように、同じ大きさのQRコードを印刷したものを貼りつけてしまえば良い。なんだって、未だにこれが問題になっていないんだろうと思っていたら、ちゃんと話題になっていた。
その手口は非常に簡単で、町中の看板やポスターなどに印刷されているQRコードの上に、誘導したいサイトの情報を入れたQRコードを貼り付けるだけ。知らずにユーザーがQRコードをスキャンすると、別のサイトに飛ばされる、という仕組みです。
いまのところ大きな被害はでていないのですが、たとえばキャンペーンサイトなどの場合、本物のサイトとそっくりなサイトを作って個人情報を収集する、といったことも十分考えられます。
ここで引用されているのは、Web担当者Forumの記事の次の記事。
QRコードは見ただけでは内容がわかりません。カメラで読み取ると、画面にはURLが表示されますが、これをしっかり確認してからアクセスする、という人は、いったいどのくらいいるでしょうか。ウェブサイトにアクセスした後も、URLを意識することは少ないと思います。PCと違って、携帯のブラウザーにはアドレスバーがありません。この「URLを意識せずにサイトにアクセスしてしまう」というところに危険が潜んでいるのです。
実際、街中の看板やポスターなどに第三者がQRコードを重ねて貼り、無関係のサイトにアクセスを誘引する、という事例があるようです。その看板やポスターの内容に関連するサイトだと思って気軽にアクセスしてみると、その飛び先は、アダルトサイトであったり、偽サイトであったり。そう、これは紛れもなく「フィッシング」です。目の前にあるQRコードで簡単にアクセスできると思い込んでいると、罠にはまってしまうことになります。
JPRSの宇井さんの記事。元は雑誌『レンタルサーバー完全ガイドVol.10』(2007年8月29日発売)に掲載されたものらしい。2007年にすでにこういうことを指摘していたなんてさすが。というか、その時点ですでに事例があったことに驚く。私の知る限り、大規模な被害というのは発生していないが、だからこそ今もっとこの問題について意識すべきではないか。
対策として、ここで述べられているのが、ドメイン名を意識すること。印刷物にドメイン名を表示し、ユーザーに注意を喚起する。ユーザーもQRコードを読み取った後、きちんとドメイン名を確認する。宇井さんは日本語ドメイン名の有効性を説く。日本語ドメイン名については個人的にはどうも好きになれない(失礼!)ところがあるのだけれど、確かにこのケースでは有効だ。特に、JPドメインにしておけば、ほかの怪しいドメインよりもドメインの所有者の確認などで安心ではあろう*1。ユーザーがきちんとTLDまで含めて確認してくれることが前提になるが。
スラドで書かれているように、SSL接続を行い、それを確認するように印刷物で喚起することも可能だが、SSL接続の有無って未だに携帯ではわかりにくいような気がする。どうなんだろう。
いずれにしろ、この議論があった時よりも、短縮URLが登場したりして、リスクは高まっている。QRコードを読み込んだ後が短縮URLであった場合、携帯からだとリダイレクトされた後のURLは目立ちにくい。
