100m先からQRコードに“肉眼で見えない”レーザーを当て偽物にする攻撃 読み込むと悪性サイトへ:Innovative Tech
東海大学に所属する研究者らは、最大100m離れた場所からQRコードに不可視光レーザーを照射し、偽装QRコードに変更する手法を提案する研究報告を発表した。ユーザーが攻撃中のQRコードをスキャンすると、悪性サイトへ誘導されるリスクがある。
Innovative Tech:
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。
Twitter: @shiropen2
東海大学に所属する研究者らが発表した論文「不可視光レーザ照射を利用した偽装QRコードの長距離化への挑戦」は、最大100m離れた場所からQRコードに不可視光レーザーを照射し、偽装QRコードに変更する手法を提案する研究報告である。ユーザーが攻撃中のQRコードをスキャンすると、悪性サイトへ誘導されるリスクがある。
実際に不可視光レーザーをQRコードに照射している様子 スマートフォンで読み込んでおり、悪性サイトへのURLを表示している レーザーが当たっている跡(赤点)は、スマートフォン越しでは見えるが、直接肉眼では見えない
研究チームは3月、不可視光レーザーを使った新たな偽装QRコードの手法を発表した。この攻撃は、レーザー光をQRコードに照射することにより、白黒判定を任意のタイミングで動的に操作し、特定のWebサイトへの誤誘導を可能にするものである。
この攻撃の特徴としては、遠く離れた場所から任意のタイミングでQRコードを偽装できること、またレーザー光が照射された際に表示される赤点が肉眼では見えず、見抜かれにくい点が挙げられる。
(関連記事:QRコードにレーザーを当てて「偽装QRコード」に変える攻撃 悪性サイトに誘導 東海大が発表)
(左)正規のQRコード、(中央)635nmでレーザー光を照射したQRコード、(右)785nmでレーザー光を照射したQRコード 右端のQRコードは照射されているレーザー光(赤い点)が分かりづらいのが確認できる スマートフォン越しに見ているため、赤点が確認できるが、直接肉眼で見ると見えない
先行研究では、5m離れた距離からレーザー光を照射する実験に成功していたが、今回の研究ではより長距離での攻撃に焦点を当て、検証を行った。具体的には、10〜100mの距離からレーザーを照射するテストを実施した。100mの実験では、50m地点に鏡を設置し、レーザー光を折り返して照射した。
実験は室内で行われ、40mと50mの間には空調の送風口があった。レーザー光の波長は、635nmと785nmの2種類。QRコードを通常通り読み込むとURL1(正規サイト)にアクセスし、攻撃が成功するとURL2(悪性サイト)に誘導される。
実験結果は次の通りである。635nmと785nmの波長で、10m、20m、30m、40mの距離では、URL2が読み込まれた。しかし、50mと100mの距離では、URL1とURL2が交互に読み込まれた。
補足動画では、実際に785nmで照射した際のQRコードをスマートフォン越しに読み込んでいる様子(10m、50m、100mの順)を示している。
この結果の要因として、QRコードに照射されたレーザー光の位置が変動していたことが挙げられる。実験環境の空調による空気の揺らぎがレーザー光を不安定にし、2〜3mm程度の変動を引き起こしたため、読み込まれるURLに違いが生じたと考えられる。
この空気の揺らぎによる成功率の低下は、攻撃対策として、QRコードの周辺で人為的に風による揺らぎを生成することが有効であることを示している。他の攻撃対策は、研究チームが以前開発した偽装QRコードを検出する専用のアプリを使用する方法も挙げられている。
今後、1kmなどのより長距離での実験を行う場合、レーザー光照射の精度向上が求められるとしている。
Source and Image Credits: 奥 彩菜, 鎌田 悠希, 板倉 大, 眞鍋 泰河, 大東 俊博, 高山 佳久. 不可視光レーザ照射を利用した偽装QRコードの長距離化への挑戦. 情報処理学会 コンピュータセキュリティシンポジウム2023論文集 691 - 697 2023-10-23
関連記事
- QRコードにレーザーを当てて「偽装QRコード」に変える攻撃 悪性サイトに誘導 東海大が発表
東海大学に所属する研究者らは、QRコードへのレーザー照射により、任意のタイミングで悪性サイトへ誘導可能な偽装QRコードを生成する方法を提案した研究報告を発表した。 - QRコードから不正サイト誘導、被害相次ぐ 「クイッシング」と呼ばれる手口も
全国的に普及している二次元コード(QRコード)を巡り、不正なサイトの広告が表示されたり、クレジットカード情報の入力を求められるなどの被害が相次いでいる。 - 原因は「短縮URL」か? QRコードから不正サイトへ誘導される事例が相次ぐ オートバックスセブン、学習院大学も
いなげやに続き、オートバックスセブンでもQRコードから不正サイトに誘導される事例が確認された。学習院大学も10月末に似た事例を報告しており、注意が必要だ。 - 「いなげや」QRコードから不正サイトに誘導、カード情報抜き取られる被害
いなげやネットスーパーの入会案内に記載したQRコードが、予定していない不正サイトにアクセスする事象が発生し、一部の顧客のクレジットカード情報が抜き取られる被害が発生した。 - QRコード悪用のフィッシング攻撃、多数の米エネルギー企業が標的に
主に米エネルギー企業大手を狙う、QRコードを使った大規模なフィッシングキャンペーンが実施されているとCofenseが発表した。Microsoft 365のアカウント設定確認ができるというQRコード入りの添付ファイル付きメールによる攻撃だ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.