Cyber Security Intelligence Vox

ITmedia エンタープライズのコラム「半径300mのIT」では『JR東日本の子会社で、駅ビルの商業施設を運営するアトレが、旧「アトレカード」の裏面に記載しているQRコードをスマホなどで読み込まないようにユーザーに呼び掛けた件についで、QRコードが人には読めず、埋め込まれたURLや文字列をスキャン前に知ることができないリスクが根底にある』と記している。

『QRコードを利用したフィッシングは「クイッシング」とも名付けられており、今や決済にまで広がった用途に、攻撃者も目を付けています。』と記している。

このコラムでは『スマートフォンのOCR機能がほぼ実用的になっていることを考えると、リスクの混入しやすいQRコード経由よりも、むしろそのままURLを記載し、スマホ自身に文字として読み取らせる方がいいのかもしれません。そうすれば完全に悪意のある別ドメインに遷移することを防ぐことは可能です。』と記しており、セキュリティの観点からURL記載という昔の方式の方が、可読性が高くて良い、とまとめています。

元々の問題であるドメインを含めた情報資産管理不足は依然として問題ですが、その悪用を防ぐという意味では、可読性を優先してスマホの計算パワーを使った方が良いという意見にはなるほどと思いました。

また、この発想の面白いところは、OCR機能という情報漏えいにもつながる技術を、逆手に使って詐欺を防ぐ点にあります。

https://www.itmedia.co.jp/enterprise/articles/2507/15/news036.html

QRコードはもう止めて……　筆者が「これはいけるかも？」と思う代替策

https://www.itmedia.co.jp/news/articles/2507/02/news058.html

旧「アトレカード」のQRコード読むと“不審なサイト”に、注意呼び掛け　ドメイン管理の不備か

https://www.atre.co.jp/news/5360/

【お知らせ】旧アトレカードをご利用のお客さまへ