QRコードはもう止めて…… 筆者が「これはいけるかも？」と思う代替策：半径300メートルのIT

QRコードを悪用したフィッシング「クイッシング」は遷移先のWebサイトなどを目視で判別できず、不正対策が難しいものです。そこで筆者が考えるQRコードに代わる新たな代替策とは。

[宮田健，ITmedia]

　JR東日本グループのショッピングセンター「アトレ」が、先日クレジットカードに関する注意喚起を公開していました。2016年2月までに発行されたカードの裏面に記載されていたQRコードに、既に使用を中止したURLが埋め込まれており、このコードを読み取るとそのURLを正しく読み取るものの、ドメインが第三者に取得されているため、意図しないWebサイトが開いてしまうという内容でした。

【お知らせ】旧アトレカードをご利用のお客さまへ（出典：アトレのWebサイト）《クリックで拡大》

　内容としては“よくある”ものですが、ドメインの利用停止から無関係な第三者による取得というリスクは、今後も多くの事例が出てくる予感がします。本年しか使わないであろう年号が含まれるドメインを取得することは、そのドメインが使用終了したときのことを考えると、非常にリスクの高い行動であることが分かります。ドメインは簡単に取得でき、もしかしたら部署単位で勝手に取っている場合もあるかもしれません。シャドーITならぬ“シャドードメイン”にならないよう、関係各所にしっかりと相談してから作業を進めることをお勧めします。

QRコードはもう止めて……　筆者が「これはいけるかも？」と思う代替策

　話は変わりますが、先日筆者が体験した出来事に触れたいと思います。筆者の下にはさまざまなニュースリリースが届きます。それを記事にする際にはタイプミスを極力減らすために、固有の単語や日時などはなるべくリリースからコピーし、ペーストするように心掛けています。

　いつものように記事を書いていると、少し困ったPDFに出くわしました。意図は何となく分かるのですが、PDFの設定で「コピー禁止」にしているファイルです。この場合、細心の注意を払いながら、間違いがないように手で打ち直さなければなりません。

コピー禁止属性のPDFだと初見のワードも全てを手で打ち直す必要がある（出典：オリエンタルのプレスリリースで筆者が取得した画面キャプチャー）《クリックで拡大》

　このような対処は、これまでも「内部からの情報漏えい防止」のソリューションで多く確認できました。コピー／ペーストを監視し、ドキュメントファイルが簡単に外部に持ち出せないようにするソリューションは、内部不正対策の文脈で大きく注目されていました。そのためこの対処自体には反対ではありません（対外的なリリースでは止めてほしいのが本音ですが）。

　というのもITの進化によって、それもだんだんと無意味になりつつあるからです。コピペ禁止が無意味になりつつある背景には、最近のOSに搭載されている非常に精度の高い「OCR機能」の登場があります。

　筆者はコピーできないPDFが送られてきた場合、まずは該当部分のテキストを含むスクリーンショットを撮ります。そのファイルをOS標準のアプリで開くと、画像であるにもかかわらずテキストが選択できます。これは画像から文字認識を実行し、日本語テキストとして「コピー」できる機能です。AI機能が充実しているスマートフォンでも同様の機能が備わっていますので試してみてください。街中で撮った写真からも、テキストが抽出できるのは大変便利です。

先ほどの画像からテキストを「コピー」できる（出典：オリエンタルのプレスリリースで筆者が取得した画面キャプチャー）《クリックで拡大》

OCRは解決策か新たなリスクか？

　先で事例を紹介した背景にはQRコードのリスクが根底にあります。それはQRコードが人には読めないため、そこに埋め込まれたURLや文字列をスキャン前に知ることができないことが原因です。

　そもそもQRコードはデンソーウェーブが1994年に開発した2次元コードです。QRコードはそれまでの“1次元”バーコードよりも読み取りやすくしたものを、自動車部品業界などの部品管理に使うという出自です。その意味では、利用範囲がありその中に入ってくるコードは基本的には正しい前提で作られていると考えていいでしょう。

　つまり、QRコードはあまりにも汎用的に使われすぎているとも捉えられます。QRコードを利用したフィッシングは「クイッシング」とも名付けられており、今や決済にまで広がった用途に、攻撃者も目を付けています。不審なWebサイトにつながるならまだしも、決済が捻じ曲げられる可能性は何とかしたいところです。

　クイッシングについては、読み取ろうとするQRコードがシールで上書きされるなど、不正に書き換えられていないかを事前にチェックするくらいしか対策がありません。次に決済をするときには、不正の可能性を頭に入れてちょっとだけ深くチェックしてみてください。

　そして最初の事例における、印刷物からWebサイトへのリンクをQRコードに託す件に関しては、もはやスマートフォンのOCR機能がほぼ実用的になっていることを考えると、リスクの混入しやすいQRコード経由よりも、むしろそのままURLを記載し、スマホ自身に文字として読み取らせる方がいいのかもしれません。そうすれば完全に悪意のある別ドメインに遷移することを防ぐことは可能です。

　ただし一時は本物だったドメインが失効により第三者のものになるというシナリオはQRコードとは別の問題で防げないので、これはこれでドメインを“一生”保持するしかありません。それに自信がない場合、掲出するQRコードには一定の有効期限を必ず記載する……くらいしか対処方法がないように思えます。

　一方、コピペ禁止で情報漏えい対策としてきた企業にとって、この新機能は悪夢以外の何者でもありません。これに関しては、スマホの持ち込みを禁止できないと思いますので、やはり「必要な人以外はそもそも情報にアクセスできない」という、最小権限の原則を適用していくこと、そしてアクセスした人の履歴をチェックし、「情報漏えいは必ずバレる」という体制を取ることも必要でしょう。

　「AIがサイバー攻撃を容易にする」というのは、セキュリティに詳しい人ほど懐疑的に考えているかと思いますが、今回のOCRの発達もある意味「AIがカジュアルな漏えいを助長する」とも考えられます。「QRコードの活用」や「精度の高いOCR」などの新機能は便利な一方で、それによる影響が思った以上に大きいこともあるので、特に情報システム部、セキュリティ担当はこういった機能をしっかりチェックし、先回りして体験しておきましょう。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。