生成サイトで作成したQRコードが無関係なサイトに誘導するトラブル

スーパーマーケットのチラシに掲載したQRコードが、生成サイトで作成した短縮URLのものだったために、無関係なサイトへ誘導してしまうトラブルがあったそうです。

スーパーマーケットチェーンのいなげやでは、神奈川県2店舗で10月27日から11月9日まで掲載したポスターや配布したチラシに掲載した「QRコード」でトラブルが発生した。

チラシやポスターは業務委託先が制作したもので、あらたに開始するネットスーパーにアクセスを促すため、第三者のオンラインサービスで生成した「QRコード」を掲載。しかし、問題の「QRコード」はネットスーパーのURLとなっておらず、想定していない「QRコード」の生成サービスと同じ運営者が提供する「短縮URLサービス」が誘導先となっていた。

問題とされる「短縮URLサービス」のページでは、本来の誘導先となるページへの導線としてリンクを掲載する一方、無関係の広告が表示されていた。あたかもページ上の「OKボタン」に見せかけてクリックさせ、情報詐取を狙ったと見られるサイトへ誘導する悪質な広告なども確認されている。

QRコード生成サイトの利用に注意 – 思わぬ動作でトラブルに
https://www.security-next.com/151238

原因としては短縮URLにする機能とのこと。この短縮URLから本来アクセスさせたいページへアクセスする間に遷移画面が表示されてしまい、そのページ中に表示された広告を開いてしまうと不健全なサイトに誘導されてしまうといった顛末のようです。

使用されたQRコード作成ツールについては、それと思しきサイトの情報を得たためアクセスしてみると、11月11日に不正な広告を検知したためGoogle広告を除去、そして17日に不正対処のために利用停止となり、現在は既に作成済みの短縮URLのみ利用可能という状況でした。

スポンサーリンク

短縮URLとは

短縮URLとは、本来の長いURLの代わりに短いURLにアクセスさせて、リダイレクトで本来のページに中継する機能です。

つまりURLを短くするというよりは、アクセスしやすいURLを使ってジャンプするページを用意しているだけに過ぎないです。

僕も自分の勤め先で、年末調整を行うURLが長くて手で入力するには骨が折れるので、手入力しやすいURLでページを作成し、年末調整のページへのリンクをするという手法を使ったことがあるのですが、それとやっていることはほとんど同じですね。

メリットとしてはURLが短くなるので見た目がわかりやすくなり、手入力でもアクセスしやすくなります。QRコードに関してはサイズを小さくすることができます。また、短縮URLのサービスによってはQRコードの使用についてアクセス解析も可能なようです。

逆にデメリットは短縮URLのサーバーを経由するのでアクセスに時間を要すること、サービスの終了によりURLが使用できなくなること、そしてセキュリティ的に重要な点としてURLを隠して訪問者を騙すことに使われることです。

QRコードではURLがわからない

インターネットに慣れている人であれば、URLを見てリンク先をある程度把握できる場合が多いです。昔ブラクラが横行していた頃は、有名なブラクラについては危険なURLとして広まっていたためURLを見て回避できることがよくありました。「crashme」とか「uedakana」とかね。

ところがQRコードについては、一見しただけではURLがわかりません。読み込んではじめてURLが表示されますが、正直僕もQRコードを読み込んだ後にURLをろくに見ずにアクセスしてしまっています。もしURLを見る癖がついていたとしても、短縮URLを使われていればもうお手上げです。

今回の一件は偶然によるものでQRコードの作成者に悪意はありませんでしたが、今後QRコードを使った攻撃が広まっていきそうですね。

QRコードのトラブル対策

QRコードを作成する側のトラブル対策としては、作成した後に問題なくアクセスできるか確認します。QRコードを正しく読み取れること、表示されるページに間違いがないかということに加え、アクセスするまでの挙動に変なところはないかを確認します。

QRコードを読み取る側については、出どころが不明な怪しいQRコードやむやみに読み取らないこと、読み取った後にURLを確認すること、表示されたページが目的のページかをよく確認することが必要ですね。

ちなみに、昔行っためりけんパークで施設内の壁に詳細の書かれていないQRコードがあって、読み取ると氷川きよしが歌っているテーマ曲が流れました。

コメント

コメントする前にお読みください

迷惑コメント防止のために初回のコメント投稿は承認制のため、投稿が反映されるまで少し時間がかかります。もちろん荒らしは承認しません。

教えて君やクレクレ君に対しては回答しませんのでご了承ください。