QRコードにセキュリティー上の弱点 不正サイトに誘導も
コメント
選択しているユーザー
前から判っていた事で、既に対策済みのQRコードスキャンアプリも出ていますので先ずはスマホ用アプリを対策済みに変える事です!
勿論、詐欺集団は更に巧みにセキュリティの穴を突いて来るのでこれもイタチごっこが続くでしょうね!
しかし、キャッシュレス社会の実現には零細な小売&サービスショップへの普及にこのQRコード方式が店の専用装置導入負担が無く最も手軽なシステムですから推進と同時に詐欺集団の仕掛けを駆逐し続ける必要以上があります!
キャッシュレス後進国の日本は、先ずオリンピック迄に首都圏の整備を進めて次にインバウンド観光地から普及活動促進を図り、更にQRコードの統一化も実現すべきです!
注目のコメント
『デンソーウェーブとアララは共同で独自QRコード®(※1)を活用した高セキュリティQRコード決済サービスの開発に着手』
https://prtimes.jp/main/html/rd/p/000000027.000013815.html
決済に関しては、フレームQRやSQRC等の技術でセキュリティは高められそうです。スマートフォン側で対応するのは難しいので、QRコードを生成する段階で専用サーバーを使用するなど、外部での対策が必要だと思います。この手の類の改ざんならば対策のしようは、いろいろと考えられますね。
1.支払い決済の場面では、汎用のQRコードリーダを使う事はなく、一般には専用のアプリケーションにビルドインされて使われることが主になるだろうから、内容検証が可能でしょう。
2.さらに安全性を高めるためには、署名付きの内容を表示してそれを検証するようにすればよいわけですから、具体的は、JWT系の技術を使えばよいでしょう。
3.さらにさらに安全性を高めるためには、署名鍵を多経路入手して、上記のJWTとバンドルするとなおよいでしょう。同時かつ多経路での鍵受渡手段には、電波、超音波、彩文(ギロッシュ)、ステガノグラフィ等、いろいろと考えられるでしょう。それぞれ、特許を出している企業がありそうな気がします。(^^;そのうちの一つはうちでも出してる)
2,3のような署名手法を用いる事によりQRコードに収めるにはデータが大きくなりすぎてしまう場合には、コンテンツ(ハッシュ)アドレスベースの表現方法を用いて、分散ストレージ等に格納しておくような工夫も可能でしょう。
セキュリティの技術は、ある側面で、いたちごっこなところはあるかもしれませんが、カジュアルハッキングを許さない程度には技術でカバーできるものと考えられます。
日本でも、支払い決済用QRコードの標準化とかすすめられているようですけど、セキュリティ対策の側面で提案や実装支援ができるメンバーとか入っているのかな?
窓口どこだろう?これ、中国では1年半以上前に問題になっていたと思います。QRコード発祥国は日本であるはずなのに、うまく使えていないのはもったいない。
便利さよりも安全性を重視していることがキャッシュレス化が遅れている一因だと言われていますが、かたや新幹線の荷物検査導入は便利さが損なわれるから反対が多いと言う、よくわからない状態。このままではどんどん差がつけられて行く一方なのではないでしょうか。