QRコード生成サイトの利用に注意 - 思わぬ動作でトラブルに

第三者のサービスを利用する場合、生成された「QRコード」の内容が本来意図した情報を反映したものか、しっかり確認することが重要となる。もし契約など結んでいない第三者のサイトを経由するような場合、問題が生じても事後に制御することが難しい。

もし、「QRコード」より直接誘導される「経由サイト」の運営者に明確な悪意があれば、本来の誘導先と同じデザインのフィッシングサイトに誘導するといったことも可能となってしまう。当初問題なくとも運営方針が変更されたり、時間の経過によって挙動が変化するおそれもある。

また「経由サイト」の提供が終了するようなことがあれば本来の誘導先に対する導線も喪失してしまう。場合によってはドメインが別の第三者の手にわたるといったことにもつながるだろう。

主体となる組織が掲示した「URL」や「QRコード」であれば、利用者は正規のものと判断し、警戒することなくアクセスしてしまう可能性が高く、誘導先に問題があればよりトラブルへと発展しかねない。特に「QRコード」は印刷物として不特定多数に配布したり掲示することも多く、あとから訂正、削除、回収が困難となったり、コストがかさむ場合もある。

さまざまなサービスが提供されており、一概に問題あるサービスとは限らないが、問題が生じた場合に影響も大きいことから、提供元や具体的な動作など信頼できるサービスであるか十分確認し、自社のセキュリティポリシーを踏まえた上で活用することが求められる。

すでに多くのシーンで「QRコード」や「短縮URL」が活用されている。信頼できないサービスを利用していた場合、現段階で問題などが生じていないか状況を確認し、今後のリスクなども想定し、必要に応じて対策を講じる必要がある。

（Security NEXT - 2023/11/21 ） ツイート

PR

関連記事

ランサム被害でファイル暗号化、影響など調査 - フィーチャ
「VMware vSphere」環境狙う「BRICKSTORM」に新亜種 - 米加当局が注意喚起
AIアシスタント「Nanobot」のWhatsApp連携コンポーネントに深刻な脆弱性
衆院選の選挙人名簿照合用データ含むメディア5枚を紛失 - 狛江市
クラウド設定ミス、学内で学生の個人情報が閲覧可能に - 流通科学大
一部サーバでランサム感染、情報流出など調査 - ワシントンホテル
「フィッシング」「ニセ警察」など動画で注意喚起 - 個情委と警察庁
米子会社にサイバー攻撃、情報流出の可能性 - サカタのタネ
ランサム被害で患者情報流出、診療には影響なし - 日本医科大学武蔵小杉病院
「TeamViewer」に脆弱性 - ローカル側の確認を回避可能