QRコード生成サイトの利用に注意 - 思わぬ動作でトラブルに

第三者のサービスを利用する場合、生成された「QRコード」の内容が本来意図した情報を反映したものか、しっかり確認することが重要となる。もし契約など結んでいない第三者のサイトを経由するような場合、問題が生じても事後に制御することが難しい。

もし、「QRコード」より直接誘導される「経由サイト」の運営者に明確な悪意があれば、本来の誘導先と同じデザインのフィッシングサイトに誘導するといったことも可能となってしまう。当初問題なくとも運営方針が変更されたり、時間の経過によって挙動が変化するおそれもある。

また「経由サイト」の提供が終了するようなことがあれば本来の誘導先に対する導線も喪失してしまう。場合によってはドメインが別の第三者の手にわたるといったことにもつながるだろう。

主体となる組織が掲示した「URL」や「QRコード」であれば、利用者は正規のものと判断し、警戒することなくアクセスしてしまう可能性が高く、誘導先に問題があればよりトラブルへと発展しかねない。特に「QRコード」は印刷物として不特定多数に配布したり掲示することも多く、あとから訂正、削除、回収が困難となったり、コストがかさむ場合もある。

さまざまなサービスが提供されており、一概に問題あるサービスとは限らないが、問題が生じた場合に影響も大きいことから、提供元や具体的な動作など信頼できるサービスであるか十分確認し、自社のセキュリティポリシーを踏まえた上で活用することが求められる。

すでに多くのシーンで「QRコード」や「短縮URL」が活用されている。信頼できないサービスを利用していた場合、現段階で問題などが生じていないか状況を確認し、今後のリスクなども想定し、必要に応じて対策を講じる必要がある。

（Security NEXT - 2023/11/21 ） ツイート

PR

関連記事

成人祝賀イベントの参加者向けメールで誤送信 - 酒田市
米当局、脆弱性悪用確認リストに7件追加 - IEなど旧製品関連も
「Microsoft Defender」に権限昇格やDoS脆弱性 - 悪用を確認
「TrendAI Apex One」に複数脆弱性 - 一部はすでに悪用
海外グループ会社にサイバー攻撃、業務影響は解消 - 近鉄エクスプレス
「BIND 9」に複数の脆弱性、すみやかな更新を強く推奨
複数ECサイトから顧客情報約310万件が流出 - ユニバーサルミュージック
「Drupal」が緊急更新を予定 - 数時間で脆弱性悪用の可能性
「Drupal」に深刻なSQLi脆弱性 - 影響ない環境も更新を強く推奨
「Chrome」にセキュリティ更新 - クリティカル含む脆弱性16件を修正