携帯でのフィッシングに注意!
みなさん、QRコードは知ってますよね?
携帯電話でQRコードの画像を読み込むことで、いちいちURLを手入力しなくても、Webサイトに簡単に接続できるのが便利です。
先週末、auの携帯電話で、このQRコードを使ってフィッシングの被害にあう可能性があることが報告されました。
以下に簡単に内容を説明します。
例えば、QRコードを作るときに、NTTドコモの仕様に従って以下のような記載方法ができます。
MEBKM:TITLE:(サイトのタイトル);URL:(実際のリンク先URL);;
このような書式で以下の作ったQRコードをNTTドコモの端末で読み取ると、以下のように2行で表示されます。
サイトのタイトル (リンクなし)
実際のリンク先URL (リンクあり→実際のリンク先URL)
なので、ドコモの端末では、2行目の「実際のリンク先URL」にカーソルを合わせないと、そもそもサイトにはアクセスできません。
これを該当するau端末で、QRコードを読み取った場合は以下のようになります。
サイトのタイトル (リンクあり→実際のリンク先URL)
実際のリンク先URL (リンクあり→実際のリンク先URL)
このように、2行ともリンクされてるようになり、しかも両方とも2行目の「実際のリンク先URL」に飛ぶようになっています。
じゃあ、それぞれ「サイトのタイトル」と「実際のリンク先URL」が以下のようになっているとしましょう。
サイトのタイトル → http://www.mecha-security.com/
実際のリンク先URL → http://www.n-study.com/
そうすると、携帯電話には以下のクリック可能な2行が記載されます。
http://www.mecha-security.com/
http://www.n-study.com/
一見すると、2つのリンクがあるだけかと思ったら、実は、「http://www.mecha-security.com/」をクリックしても実際には「http://www.n-study.com」に飛んでしまうという事態が発生するわけです。
これを悪用すると、PC版のフィッシングと同じように、見た目を偽装してフィッシングサイトに誘導することが可能なんですね。
とりあえず、この問題はauの一部の機種だけに発生し、他の機種では発生しないようです。一部の機種に該当する方はバージョンアップをすれば直るようですので、確認してみてください。
■バーコード (2次元コード) リーダーご利用にあたっての注意点
PCであれば、見た目のリンクに騙されないように、直接ブラウザのアドレスバーにURLを入力するという、フィッシング対策をとることができますが、携帯にはそもそもアドレスバーがないのが問題だという指摘もあります。
携帯ユーザを狙ったフィッシングも今後十分考えられ、「ユビキタスフィッシング」が到来するとも言われています。
携帯電話メーカー・キャリア側でしっかりと対策を取って欲しいものですね。
セキュリティベンダーで働くエンジニアです。
難しいセキュリティの話題をわかりやすく解説していきたいです。