QRコードにセキュリティー上の弱点 不正サイトに誘導も
コメント
選択しているユーザー
エラー訂正処理を騙すよりも
「中国ではスーパーで商品ごとに掲示された支払い用のQRコードを、客がスマートフォンで読み取って決済するサービスが普及しているということで、改ざんしたQRコードを正しいコードの上から貼り付ける手口で、代金をだまし取られる被害も相次いでいるということです。」
こっちの方が簡単かつ深刻な気がします。そこだけ貼り付けてあるならよく見ればいいのかもしれないけど、すべて偽造されてたら区別はつきません
注目のコメント
『デンソーウェーブとアララは共同で独自QRコード®(※1)を活用した高セキュリティQRコード決済サービスの開発に着手』
https://prtimes.jp/main/html/rd/p/000000027.000013815.html
決済に関しては、フレームQRやSQRC等の技術でセキュリティは高められそうです。スマートフォン側で対応するのは難しいので、QRコードを生成する段階で専用サーバーを使用するなど、外部での対策が必要だと思います。この手の類の改ざんならば対策のしようは、いろいろと考えられますね。
1.支払い決済の場面では、汎用のQRコードリーダを使う事はなく、一般には専用のアプリケーションにビルドインされて使われることが主になるだろうから、内容検証が可能でしょう。
2.さらに安全性を高めるためには、署名付きの内容を表示してそれを検証するようにすればよいわけですから、具体的は、JWT系の技術を使えばよいでしょう。
3.さらにさらに安全性を高めるためには、署名鍵を多経路入手して、上記のJWTとバンドルするとなおよいでしょう。同時かつ多経路での鍵受渡手段には、電波、超音波、彩文(ギロッシュ)、ステガノグラフィ等、いろいろと考えられるでしょう。それぞれ、特許を出している企業がありそうな気がします。(^^;そのうちの一つはうちでも出してる)
2,3のような署名手法を用いる事によりQRコードに収めるにはデータが大きくなりすぎてしまう場合には、コンテンツ(ハッシュ)アドレスベースの表現方法を用いて、分散ストレージ等に格納しておくような工夫も可能でしょう。
セキュリティの技術は、ある側面で、いたちごっこなところはあるかもしれませんが、カジュアルハッキングを許さない程度には技術でカバーできるものと考えられます。
日本でも、支払い決済用QRコードの標準化とかすすめられているようですけど、セキュリティ対策の側面で提案や実装支援ができるメンバーとか入っているのかな?
窓口どこだろう?これ、中国では1年半以上前に問題になっていたと思います。QRコード発祥国は日本であるはずなのに、うまく使えていないのはもったいない。
便利さよりも安全性を重視していることがキャッシュレス化が遅れている一因だと言われていますが、かたや新幹線の荷物検査導入は便利さが損なわれるから反対が多いと言う、よくわからない状態。このままではどんどん差がつけられて行く一方なのではないでしょうか。