暗号の大家、ブルース・シュナイアー氏のブログで面白い記事を拾っていました。
www.schneier.com
キタきつねの所感
QRコード(決済)というのは今や生活に欠かせない手段となりつつありますが、QRコードにはいくつかの脆弱点が以前から知られており、例えば中国の屋店等での支払いQRコードの貼り替えといった攻撃が問題となっていました。
他にもレジ決済を待ってスマホ決済画面を用意している間に、後ろに並んでいた犯人が被害者のスマホのQRコードをスキャンして、被害者のQRコードで決済してしまったといった悪用が報じられています。
mainichi.jp
前者と似ている手口ではあるのですが、NewYorkPostの記事では、10代と思われる子供に大人が”騙される”姿が映っていました。
nypost.com
※以下写真はNew York Post記事から引用
この写真だけで何があったのかを察するのは難しいので、New York Post記事本文の動画を見て頂ければと思いますが、手前の男性(被害者)がQRコードを読んで自転車を借りようとしてスマホ決済をした所で、画面奥の白いTシャツを着た男性(犯人)がレンタルバイクを「借り出す」事に成功します。
奥の自転車を借り出すための自転車のQRコードシールが、加害者によってコピーされて、手前の男性(被害者)の借り出そうとしてた自転車に「貼られていた」という攻撃だった様です。
※この後、被害者の男性は自転車を借り出す事が出来なくて運営らしき所に問合せしている(様に見える)所まで動画に映っていました。
自転車のレンタル代と考えると大した事はありませんが、この後加害者が自転車を好き放題乗り回し、延滞料金(あるいは自転車盗難)の代金を支払わされると考えると事態は深刻です。
「それは毎日起こっています」と、マンハッタンのウェスト43rdストリートと10thアベニューの角にあるシティバイクドックで行われている詐欺のビデオを撮影したヘルズキッチンのアマチュア探偵リチャードは言います
(New York Post記事より引用)※機械翻訳
QRコードが持つ「コピー可能」な脆弱性を突く攻撃は、上貼りされたシールが本物に近いものであった場合、素人が気づくのは困難かと思います。
自転車レンタルの拠点に監視カメラが設置されているケースは、個人的には見た事がありませんので、仮に悪用されている自転車をGPSで追いかける事は出来たとしても、犯人まで探し出す事は難しいかも知れません。
こうした攻撃事例は国内では見た事はありませんが、(類似攻撃まで含めて)そう遠く無い将来に”輸入されてくる”気がしてなりません。
監視カメラ設置は採算が合わなくて無理だとしても、運営側がQRコードシールを、”コピー”が難しいICチップ(タグ)等に置き換える事は可能かと思います。
とは言え、コストや貼り替えを考えるとすぐには実現されないと思いますので、(海外旅行を含め)レンタサイクルを借りる場合は、念のため、周りに「不審なティーンエージャー」がいないかを確認する事が良さそうです。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
