SHARE Twitter Facebook Google+ はてなブックマーク LinkedIn

QRコードを利用した電子決済の安全性向上に向けて

株式会社NTTデータ 技術革新統括本部 セキュリティ技術部

中泉 千咲

世界的に利用が広がるQRコードに、偽装された情報を組み込むことができる弱点が見つかった。その概要に触れながら、QRコードの本質的な弱点を解説し、安全に使用するための方策について考察する。

QRコード需要の高まり

QRコードは、これまで主に広告や電子決済などで広く利用されてきました。特に電子決済の分野では、AlipayやWeChat Payなど中国における利用者数が多くを占めています。NFC(※1)などを利用した決済と比較して、ICカードリーダーなどの専用の設備を必要とせず、導入時のハードルが低いことも新興国における利用拡大に寄与しています。
日本においても2016年6月の閣議決定(※2)を受けて、経済産業省よりキャッシュレス化を推進する方策が発表(※3)(※4)されており、今後さらに利用の増加が見込まれます。

主要モバイル決済利用者数

図1:主要モバイル決済利用者数(出典:「世界で広がるモバイルQR決済・送金動向」(payment navi)(※5))

気まぐれなQRコード

期待の高まるQRコードに、2018年6月、正規の情報以外に偽装された情報を含ませることができるというセキュリティ上の弱点が報告されました。(※6)(※7)
QRコードにはもともと、読み取った結果を目的の情報としてデコード(復元)する際に、誤りを訂正する機能が備わっています。この機能によりQRコードが汚れていたり、一部破損したりしていても情報を正しくデコードできるという利点があります。

通常時と偽装時におけるQRコードの利用フロー

図2:通常時と偽装時におけるQRコードの利用フロー

今回報告された弱点は、この誤り訂正機能に起因しています。QRコードに備わっている誤り訂正機能の特性を利用することで、任意の確率で異なる結果が読み取られる「気まぐれなQRコード」を生成可能となります。
この「気まぐれなQRコード」を読み込むと、正規の情報と偽装された情報のどちらにもデコードされる可能性があります。そのため、フィッシングサイトなどに誘導された場合に、再現性が乏しいといった特徴などから、偽装されたサイトであると気づくことが通常以上に困難になります。これにより攻撃の検知が遅れ、被害が拡大するおそれがあります。

一見すると深刻な弱点に思えますが、実際にはすぐに被害に結びつくものではありません。電子決済等で利用者やPOSの端末上にQRコードを表示するシステムにおいて、攻撃者が意図したQRコードを端末上に表示させるためには、QRコードを生成する段階で偽装を行う必要があります。そのためには、攻撃者がシステムに侵入する等の手口を利用して事前にQRコード生成アプリケーションを改ざんするなどの攻撃を成功させる必要があります。よってシステムのセキュリティ対策が十分に行われている場合、攻撃は容易に成立しないため、被害には結び付きにくいと言えます。

安全な利用のために

QRコードにまつわる問題の本質は、QRコードを人力で解読することが困難であり、含まれている情報が正しいかどうか(完全性)を判別することができないという点にあります。そのため、QRコードからデコードされた情報を利用する前に、デコード後の情報を確認することが推奨されます。しかし、短縮URLが表示される場合や、支払い先の名称などが本物と酷似している場合などには、目視確認による判別が有効でないケースもあることを留意しなければなりません。

また、今回報告された弱点とは別の観点になりますが、QRコードの利用時には、生成したQRコードを読み取らせるまでの間に、攻撃者がQRコードを改ざんする、といったリスクも考慮する必要があります。例えば中国では、紙に印刷されたQRコードに対し、別のQRコードを上から貼り付ける、置き換えるなどの手段によるフィッシングのような攻撃による被害も確認されています。(※8)
これに対する事業者による取り組みの例としては、リスクに応じた利用限度額を設定する、QRコードの有効期間を短く設定する、といったものが挙げられます。またこういったリスクの軽減策が十分ではないと判断した場合、そもそもQRコードを表示するデバイスを信用できるものに限定する(例えば紙のように複製や改ざんが容易なものは利用しない)、という考え方もあります。

QRコードを活用したシステムのセキュリティ対策に関する統一的な基準は現状定められておらず、各事業者の判断に任せられているのが実情です。今後QRコードを利用した電子決済の規格統一などにより、事業者が満たすべき基準や枠組みが定められていくことも想定されます。各事業者は安全性を考慮しつつ、利便性を損なわない方式を提供する必要があるでしょう。

2020年に向けて、日本国内においてもQRコードの利用が加速していくことが想定されます。ユーザは利便性だけでなく、セキュリティ基準類の順守状況や万が一被害を受けた際の補償条件といった、安全性の面からも事業者を評価し、選択することが重要です。安全を過信せず、ユーザ一人ひとりがその弱点も意識をして活用していく必要があるでしょう。

  1. ※1 NFC:Near Field Communicationの近接距離通信。Suicaやおサイフケータイで使用されているFeliCaもNFC技術のひとつ。
  2. ※2「日本再興戦略」改訂2014-未来への挑戦-(首相官邸)
    http://www.kantei.go.jp/jp/singi/keizaisaisei/pdf/honbun2JP.pdf(外部リンク)
  3. ※3「キャッシュレス・ビジョン」(経済産業省)
    http://www.meti.go.jp/press/2018/04/20180411001/20180411001.html(外部リンク)
  4. ※4「キャッシュレス化に向けた方策」(経済産業省)
    http://www.meti.go.jp/press/2014/12/20141226003/20141226003a.pdf(外部リンク)
  5. ※5「世界で広がるモバイルQR決済・送金動向」(payment navi)
    https://www.paymentnavi.com/paymentnews/73369.html(外部リンク)
  6. ※6「気を付けろ!QRコードに脆弱性? その深刻さと騙されないための対策」(神戸大学大学院 森井昌克教授)
    https://news.yahoo.co.jp/byline/moriimasakatsu/20180624-00086884/(外部リンク)
  7. ※7「『きまぐれQRコード』ができます!?【続報】気を付けろ!QRコードに脆弱性?」(神戸大学大学院 森井昌克教授)
    https://news.yahoo.co.jp/byline/moriimasakatsu/20180629-00087130/(外部リンク)
  8. ※8 悪意のあるQRコードを正規のコードの上から貼られるなどの攻撃は“QRishing”と呼ばれる。
    「QR コード–便利だが危険な存在」(カスペルスキー)
    https://blog.kaspersky.co.jp/qr-%e3%82%b3%e3%83%bc%e3%83%89-%e4%be%bf%e5%88%a9%e3%81%a0%e3%81%8c%e5%8d%b1%e9%99%ba%e3%81%aa%e5%ad%98%e5%9c%a8/319/(外部リンク)

Profile

中泉 千咲
株式会社NTTデータ 技術革新統括本部 セキュリティ技術部
中泉 千咲

2016年より、セキュリティコンサルティング業務に従事。標的型攻撃対策や個人情報保護の観点におけるセキュリティアセスメントや、クラウドサービスにおけるセキュリティリスク分析などを行う。