原因は「短縮URL」か? QRコードから不正サイトへ誘導される事例が相次ぐ オートバックスセブン、学習院大学も
スーパーマーケットチェーンのいなげやに続き、オートバックスセブンでもQRコードから不正サイトに誘導される事例が確認された。学習院大学も10月末に似た事例を報告しており、注意が必要だ。
オートバックスセブンは11月13日、会員向けダイレクトメールで会員制度のリニューアルのページを案内するQRコードから、予定していない広告サイトに飛ばされる事例が発生しているとして、読み取りを行わないように呼び掛けた。一部の顧客は、カード番号など決済情報の入力を求められたという。
学習院大学では、5月から配布している「大学案内2024」に掲載した「受験生応援サイトintro!」のQRコードから不正なリンク先へ転送されていることが判明。QRコードを使わず、併記したURLを直接入力してほしいと呼び掛けている。
リンク先が後から変えられた?
いずれも最初から不正なサイトに飛ばされていたのではなく、途中からリンク先が変わったとみられるが、なぜそのようなことが起こるのか。パスワード管理サービス「Keeper」の国内販売などを手掛けるZUNDA(東京都渋谷区)の澤田翔代表は自身のXアカウントで、いなげやとオートバックスセブンの事例を取り上げ、これらのQRコードに使われた“短縮URL”が、特定のサービスを利用して作られた可能性を指摘を指摘している。
「短縮URLというのは、zipファイルや画像の圧縮のように文字列を圧縮しているわけではなく『転送電話』のように、サービスの運営者が転送サービスを実施しているにすぎません。なので、運営者に悪意があれば作成者が入力したURLと異なるページに飛ばすことも可能です。バレないように後から変えることもできるでしょう。今回の攻撃についても、運営者が短縮URLの呼出回数をチェックし、市中に出回ったことを確認して転送先をフィッシングサイトに切り換えたものと思われます」(澤田代表のポストより引用)。
あくまでも1つの可能性だが、この短縮URLサービスのWebサイトには運営者情報や規約の記載がなく、安価なレンタルサーバを使用していたという。澤田代表はこうしたリスクを避けるため、サイト運営者側が「出所の怪しいツールは使用を避ける」ことに加え、一般利用者に対しても「スキャンしたQRコードが短縮URLだった場合には十分に警戒」するように警鐘を鳴らしている。
【修正履歴:2023年11月16日10時58分更新 ※誤解を招かないよう一部表現を改めました】
関連記事
「いなげや」QRコードから不正サイトに誘導、カード情報抜き取られる被害
いなげやネットスーパーの入会案内に記載したQRコードが、予定していない不正サイトにアクセスする事象が発生し、一部の顧客のクレジットカード情報が抜き取られる被害が発生した。
非公開の予定が見えちゃってるね! Webアプリの「認可制御」に潜む“あるある”ワナ
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。
全銀ネット障害、根底に“開発体制の不備”か NTTデータの見解
10月に発生した全銀ネットの障害をめぐり、システム構築を担当したNTTデータが11月6日に謝罪会見を開いた。
全銀ネット障害、いまだ根本原因特定できず メモリ不足の指摘には「分からない」
全国銀行協会は18日、銀行間の送金を行う「全国銀行データ通信システム」で10日から11日にかけて発生した障害について会見を行い、現状を説明した。
アジに寄生したアニサキスをパルス電流で“瞬殺”する技術、熊本大学がクラファン実施 「サバ、サケ、サンマにも」
加熱も冷凍もせず、魚介類に潜む寄生虫のアニサキスを“瞬殺”する──そんな技術を開発した熊本大学と福岡市の水産会社が、早期の社会実装を目指してクラウドファンディングを始めた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。