【情報セキュリティ回#19】テキストでQRコード作る人がいる

キャッシュレスが一般的になりつつある今、QRコードはいろんなところで目にします。

便利になると、それを悪用する人がでてくるのは
もはやしょうがないです。

最近ではQRコードを使って不審なサイトに誘導する手口を「クイッシング」と
表現したりしてます。

そんな単語が出てしまうほど。
一般的になりつつあります。

過去にもQRコードを悪用している事例をnoteで紹介しました。

先日、別のあやしいサイトに誘導する方法を
確認することができました。解説します。

QRコードを"文字"で作るツワモノ登場

QRコード＝画像

今ではこれが常識となってます。
この常識を逆手にとって、

ＱＲコード＝文字の組み合わせ

で、表現する手法が確認されています。

具体的には、キーボードで入力できる
ASCII文字を使って、HTMLで作られてます。

文字だとわかりづらいのですが、
下記に紹介されている
記事の画像を引用させていただくと、

チェック・ポイント、ASCIIコードをベースとする新たなQRコードフィッシングの手法を発見

外部サイト：https://ascii.jp/elem/000/004/206/4206212/より引用

上記って、ぱっと見は普通のQRコードですが、
これ、キーボードで作られた文字の組み合わせで表現してるんです。

注記：事前に確認したら読み取れなかったので大丈夫と思いますが、
QRコードを読み取らないでくださいね。

日本人って昔からASCIIアートが大好き。
その延長線上なのでまぁ、作れるだろうな笑。

な感覚だと思います。

でもこれ、セキュリティ上は、大きな脅威です。

文字版QRコードのセキュリティリスク

大きく２つあります。

いちばん大きいのが、

メールに書かれて送信されたら、QRコードがそのまま相手に届く

んです。

一部メールシステムの中には、直接の添付ファイルは受け付けず、

・クラウド上にアップロードする
・上記のサイトURL をメール本文で送る

様な流れで不審メールを抑止するサービスを実装してます。

この実装だと、QRコードが画像ファイルなら
画像ファイルを添付して送付はできないので、
受信者には届きません。

しかし、文字の組み合わせで作ったQRコードは、文字です。
「添付ファイル」はないんです。

なので、QRコードを表示したまま
届いてしまいます。

キャッシュレスの普及でQRコード読取に対する
違和感や抵抗感がなくなってる私たちにとって、

何も違和感なく読み取ってしまいます。

例えば、
QRコードの先に魅力的な情報を紹介しますよ。

なんて誘われたら、
全員でなくとも何人かは読み取るでしょう。

もう１つが、

OCR（画像認識機能）を使ってQRコードのチェックするサービスや機能をすり抜ける

です。

各社、QRコードを利用したリスクの高まりを
受け、対策製品やサービスをリリースしてます。

これらのサービスは、
①HTML 上にあるQRコードを認知する
②QRコードを読み取って、不審なサイトかどうかをセキュリティが担保された環境で試す
③怪しくないサイトなら「問題なし」を通知

のような流れです。
このうち①HTML上にあるQRコードを認知する

ための条件が、
「HTML 上の画像ファイルを対象に」
その画像がQRコードであることを認知する
です。

なので、文字で作られたQRコードは
画像ファイルではないので、
対象外の位置づけになってしまいます。

被害を避けるには

見ただけでは、QRコードが画像ファイルか、
文字で作ったのかはわかりません。

じゃあどうやって見分けるか。
以下の３つのいずれかでほぼ見分けられます。

１．マウスでクリックしてみる
QRコードの画像ファイルなら、クリックしてもその先のどこかのサイトに変わるなんてことは通常はないです。

だってQRコードは、
中の情報を読み取ってもらうもの。
その画像を押してどこかのサイトに
飛ばされるのは、めちゃくちゃ怪しいです。

なので、そもそもクリックして
他に切り替わろうとしてるなら
「怪しいQRコード」認定です。

クリックせずに、そっとそのQRコードから
離れましょう。

もうひとつ怪しい認定できるのが、
画像全体が選択されず、QRコードの文字の
どこかにカーソルが動くこと。
　　
QRコードの中央部をクリックして、
そこにカーソルが動くのなら
それは「文字」です。

２．HTML モードでサイトを参照する
ホームページ上に公開されてるようなQRコードに限定しますと
画像なら、.jpg とか、.bmp のような
見なれた拡張子が表示されますが、

文字だと、以下のような表示になります。

外部サイト：https://ascii.jp/elem/000/004/206/4206212/より引用

こう表示されたら、怪しさ１００パーセント。

３．電子メール本文のQRコードは全て怪しむ
送信者に悪気がないケースが大半なんですが、
メールにあるQRコードは、怪しんで接するのがいいです。

メールは、届くまでのどこかで
改ざんされる可能性があります。

そのリスクを踏まえると、
リンク先URLも同様に、QRコードも
同じレベルで警戒するのが重要です。

今はそんな時代です。

まとめ

今回、QRコードの例を紹介しましたが、
いつの時代も
「怪しいに気づき、不審なモノには近づかない」
が大原則です。
時代によって手段は変わりますが、

何か怪しい
ほんとうにこのサイトは大丈夫なのか

そんな疑いの目、自分の身は自分で守る。
な意識がない限り、自己防衛は難しいです。

疑うには、まずは知ることがいちばんの近道。

そういえば、こんな情報をどっかでみたぞ

うろ覚えでも、この感情が芽生えるだけで
リスクは大幅に低減します。

今回の記事の
「文字列でQRを作るのはあやしいよ」
を脳のどこかに置いていただけると、

実際に見たときに思い出して
そこから先のアクションを停止できます。

知識ってほんとうに大事ですよね。