QRコード生成サイトの利用に注意 - 思わぬ動作でトラブルに

第三者のサービスを利用する場合、生成された「QRコード」の内容が本来意図した情報を反映したものか、しっかり確認することが重要となる。もし契約など結んでいない第三者のサイトを経由するような場合、問題が生じても事後に制御することが難しい。

もし、「QRコード」より直接誘導される「経由サイト」の運営者に明確な悪意があれば、本来の誘導先と同じデザインのフィッシングサイトに誘導するといったことも可能となってしまう。当初問題なくとも運営方針が変更されたり、時間の経過によって挙動が変化するおそれもある。

また「経由サイト」の提供が終了するようなことがあれば本来の誘導先に対する導線も喪失してしまう。場合によってはドメインが別の第三者の手にわたるといったことにもつながるだろう。

主体となる組織が掲示した「URL」や「QRコード」であれば、利用者は正規のものと判断し、警戒することなくアクセスしてしまう可能性が高く、誘導先に問題があればよりトラブルへと発展しかねない。特に「QRコード」は印刷物として不特定多数に配布したり掲示することも多く、あとから訂正、削除、回収が困難となったり、コストがかさむ場合もある。

さまざまなサービスが提供されており、一概に問題あるサービスとは限らないが、問題が生じた場合に影響も大きいことから、提供元や具体的な動作など信頼できるサービスであるか十分確認し、自社のセキュリティポリシーを踏まえた上で活用することが求められる。

すでに多くのシーンで「QRコード」や「短縮URL」が活用されている。信頼できないサービスを利用していた場合、現段階で問題などが生じていないか状況を確認し、今後のリスクなども想定し、必要に応じて対策を講じる必要がある。

（Security NEXT - 2023/11/21 ） ツイート

PR

関連記事

「FortiClient EMS」に深刻な脆弱性、すでに悪用 - ホットフィクス適用を
委託事業者間でデータ誤送信、ファイル内に無関係の個人情報 - 大阪市
サーバに不正アクセス、影響など調査中 - ムーンスター
県内14警察署で文書誤廃棄、DVやストーカー関連も - 宮城県警
委託先で調査関連データ含むUSBメモリが所在不明 - 精華町
NEC製ルータ「Aterm」シリーズに脆弱性 - 21モデルに影響
予約管理システムの管理者アカウントに不正アクセス - ホテルプリンセス京都
2027年度に情報処理技術者試験を再編、「データマネジメント試験」新設へ
「Cisco IMC」に複数の脆弱性 - 管理者権限を奪われるおそれも
ビデオ会議ツール「TrueConf」にゼロデイ攻撃 - アップデート機能に脆弱性