QRコード生成サイトの利用に注意 - 思わぬ動作でトラブルに

第三者のサービスを利用する場合、生成された「QRコード」の内容が本来意図した情報を反映したものか、しっかり確認することが重要となる。もし契約など結んでいない第三者のサイトを経由するような場合、問題が生じても事後に制御することが難しい。

もし、「QRコード」より直接誘導される「経由サイト」の運営者に明確な悪意があれば、本来の誘導先と同じデザインのフィッシングサイトに誘導するといったことも可能となってしまう。当初問題なくとも運営方針が変更されたり、時間の経過によって挙動が変化するおそれもある。

また「経由サイト」の提供が終了するようなことがあれば本来の誘導先に対する導線も喪失してしまう。場合によってはドメインが別の第三者の手にわたるといったことにもつながるだろう。

主体となる組織が掲示した「URL」や「QRコード」であれば、利用者は正規のものと判断し、警戒することなくアクセスしてしまう可能性が高く、誘導先に問題があればよりトラブルへと発展しかねない。特に「QRコード」は印刷物として不特定多数に配布したり掲示することも多く、あとから訂正、削除、回収が困難となったり、コストがかさむ場合もある。

さまざまなサービスが提供されており、一概に問題あるサービスとは限らないが、問題が生じた場合に影響も大きいことから、提供元や具体的な動作など信頼できるサービスであるか十分確認し、自社のセキュリティポリシーを踏まえた上で活用することが求められる。

すでに多くのシーンで「QRコード」や「短縮URL」が活用されている。信頼できないサービスを利用していた場合、現段階で問題などが生じていないか状況を確認し、今後のリスクなども想定し、必要に応じて対策を講じる必要がある。

（Security NEXT - 2023/11/21 ） ツイート

PR

関連記事

Drupal向け「OAuth」サーバモジュールに認可バイパスの脆弱性
Samsung製端末、ゼロデイ攻撃の標的に - 商用レベルスパイウェアを悪用か
バッファロー製ルータ「WSR-1800AX4シリーズ」に脆弱性 - ファームウェアの更新を
「GNU Libmicrohttpd」に複数脆弱性 - 実験的コンポーネントに起因
JetBrains「YouTrack」に複数の脆弱性 - トークン漏洩のおそれも
「Androidアプリセキュアコーディングガイド」英語版を公開 - JSSEC
要介護認定調査の連絡票を路上でクリアファイルごと紛失 - 神戸市
NECのHAクラスタソフト「CLUSTERPRO X」に深刻な脆弱性
顧客取引データ保存されたディスク2枚が所在不明 - 西村証券
サイト侵害で個人情報流出の可能性 - 幼児向け通信教材会社