ブログ

Qrljacking とは何ですか?どうすれば防止できますか?

Qrljackingとは何ですか



QR コード (クイック レスポンス コード) は非常に便利です。これらは、基本的にすべての英数字とデジタルのものをエンコードするために使用できます。さらに、見た目も未来的です。 QR コードは、バーコードを技術的に拡張したものです (X 軸 - 左から右へ)。バーコードは 1 次元とみなされますが、QR コードは 2 次元 (X 軸と Y 軸、左から右、上から下) です。 QR コードには、最大 7089 桁または 4296 文字を保存できます。これには、句読点と特殊文字が含まれます。したがって、QR コードは、単語、フレーズ、インターネット URL、ログイン資格情報のエンコードにも使用できます。

しかし、QRL コードは非常に便利ですが、オンライン攻撃ベクトルでもあります。 QRLジャッキングを入力します。



QRコード履歴

QRコードは日本の製造会社によって作成されました。 密な波 。同社は、従来のバーコードよりも多くのデータを処理できる (より多くの文字をエンコードできる) 優れたコーディング システムを必要としていました。同社は、製造する車両や部品の数の増加を追跡できるようにするためにこれを必要としていました。デンソーウェーブの社員である原正博氏は、同僚 2 人のチームとともに、現在 QR コードとして知られているものを開発しました。 QRコードは1994年から利用可能になりました。

QRLとは何ですか?

QRL (クイック レスポンス コード ログイン) は、パスワードベースの認証の代替手段です。 QRL を使用すると、ユーザーは、ユーザーのログイン資格情報がエンコードされた QR コードをスキャン (写真を撮る) ことで自分のアカウントにログインできます。つまり、QRコードを解釈できるカメラを備えたデバイスが必要ということになります。しかし、現在購入しているほとんどのスマートフォンやコンピューターには、その機能が組み込まれています。



QRL (クイック レスポンス コード ログイン) は、従来のパスワードベースのログインに影響を与える 2 つの主な問題を克服する方法として登場しました。

  1. パスワード疲労:オンライン サービスの数が日々増加しているため、各アカウントの安全なパスワードを考えて覚えておくようにユーザーに求めることは、すぐに管理できなくなります。そのため、人々は複数のサイト/サービスで同じパスワードを再利用することになります。それは多くの理由から非常に悪い考えです。つまり、多くのサービスで使用しているパスワードが侵害されると、それらすべてのサービスのアカウントが侵害されることになるからです。これにより、そのパスワードを共有するサイト/サービスの数が被害額に実質的に倍増します。詳細については、パスワードの再利用に関する専門記事をご覧ください。
  2. リプレイ攻撃:従来のパスワードベースの資格情報は、リプレイ攻撃に対して脆弱です。リプレイ攻撃の一種は、 中間者攻撃 この場合、正当なデータ (ユーザーのログイン認証情報など) の送信が遅延し、攻撃者によって傍受されます。その後、攻撃者は実際のユーザーになりすますために傍受したデータを再送信し、ユーザーのデータを盗む可能性があります。 QRL はログイン試行ごとに変更されるため、この種の攻撃に対する扉は閉ざされます。

しかし、これから説明するように、それは決して QRL が無敵であるという意味ではありません。

QRLジャッキングとは何ですか?

QRL ジャッキングは、何も知らないユーザーをだまして、サービス プロバイダーが発行した実際の QRL ではなく、攻撃者が提供した QRL をスキャンさせるオンライン攻撃です。ユーザーが悪意のある QRL をスキャンすると、攻撃者がユーザーのアカウントにアクセスし、悪いことが起こります。

QRL ジャッキングは、多くのオンライン攻撃と同様、被害者をだまして侵害された QRL をスキャンさせるために、何らかの形のソーシャル エンジニアリングを必要とします。

典型的な QRL ジャッキング攻撃の例を次に示します。

  1. 攻撃者は、問題の Web サイト/サービスに対してクライアント側の QR セッションを開始します。
  2. 次に、攻撃者はログイン QR コードのクローンを作成して、正規のオンライン サービスを模倣した偽のログイン ページを作成します。表示される QR コードは有効であり、定期的に更新されます。
  3. 攻撃者は何らかのソーシャル エンジニアリングを使用して、偽のページを被害者に送信します。これは、被害者をだましてリンクをクリックさせるものであれば、URL を含む電子メール、Facebook の投稿、テキスト メッセージなど、何でもかまいません。
  4. ユーザーは、QRL が作成されたモバイル アプリケーションを使用して悪意のある QRL をスキャンします。
  5. 攻撃者は被害者のアカウントにアクセスしますが、オンライン サービスはユーザーのデータを攻撃者と共有するため、さらに賢明です。

現実世界の QRL ジャッキング攻撃

2019年4月に、 OWASP.org , Open Web Application Security Project は、 GitHubリポジトリ QRLジャッキング攻撃を実行するためのホスティング ソフトウェア ツール。説明書と Wiki が付属しています。セキュリティ研究者は、研究目的で「不快な」内容を投稿することがあります。

OWASP は GitHub ページに、2019 年 4 月の時点で QRLjacking 攻撃に対して脆弱であることが知られていたオンライン サービスをリストしています。以下にリストを再掲しました。 OWASP のリストに選ばれたオンライン サービスの中には、あなたを驚かせるものがあるかもしれません。

これらのサービスのほとんどは中国語またはロシア語であり、QR コードの方がはるかに一般的です。

チャットアプリケーション

  • ワッツアップ
  • 微信
  • ライン
  • 微博
  • QQインスタントメッセージング

郵送サービス

  • QQメール(個人および法人向け)、
  • ヤンデックスメール

eコマース

  • アリババ
  • アリエクスプレス
  • タオバオ
  • 天猫
  • 1688.com
  • 受け取っていない
  • タオバオ旅行

オンラインバンキング

  • アリペイ
  • ヤンデックスマネー
  • テンペイ

パスポートサービス

  • Yandex パスポート (Yandex メール、Yandex Money、Yandex マップ、Yandex ビデオなど)

モバイル管理ソフトウェア

  • エアドロイド

他のサービス

  • マイデジパス
  • Zapper & Zapper QR コードによる WordPress ログイン プラグイン
  • 信頼できるアプリ
  • イエローフォン
  • アリババ・ユノス

QRLジャッキング攻撃の軽減

QRL をまったく使用しないこと以外に、QRL ジャッキング攻撃から保護するためにユーザーができることはあまりありません。実際、これは QRL ジャッキングを軽減するための OWASP の一番の推奨事項です。

さらに、Web サイト管理者が攻撃対象領域を最小限に抑えるために実行できる対策がいくつかあります。ただし、ユーザーを認証する手段としてこれを使用することもやめるべきです。ただし、QRL を使用する必要がある場合は、セキュリティに関するヒントをいくつか紹介します。

確認メール/SMS

ユーザーが QRL でログインした後、Web サイト/サービスは確認メールまたは SMS メッセージをユーザーに送信します。そうすれば、ユーザーは確認メッセージを受信しなくても、何か問題があると判断できます。

制限されたIPアドレス

QRL を使用できる IP アドレスを制限することも、QRL ジャッキング攻撃を軽減するもう 1 つの方法です。ユーザーはサイト/サービスから QRL をリクエストする必要があるため、この時点でサービスはユーザーの IP アドレスを認識します。これにより、攻撃者のサーバーからの認証リクエストがブロックされます。ただし、攻撃者が実行できる方法はいくつかあります。 なりすまし IP アドレスを変更し、このセキュリティ対策をバイパスする可能性があります。

制限された場所

上記と同様に、もう 1 つの緩和策は、認証リクエストを受け入れる場所を制限することです。 Web サイト/サービスは必然的にユーザーの IP アドレスを知っているため、ユーザーの大まかな位置も知っています。確実ではありませんが、悪意のあるサーバーが被害者と同じ一般的な場所にない限り、攻撃者からの認証リクエストを阻止できる可能性があります。

しかし、繰り返しになりますが、これらは比較的非現実的な緩和策です。そして、それらはどれも特効薬ではありません。 1つ目は理論的なものです。 2 番目を回避するのはそれほど難しくありません。 3 番目の方法は、攻撃者のサーバーが被害者とほぼ同じ場所にある場合には機能しません。

したがって、最善の緩和策は、QRL をまったく使用しないことです。

ユーザーとして QRL を使用する必要がある場合、役立つかもしれない常識的なアドバイスをいくつか紹介します。これらはとにかくやるべきことです。 QRLジャッキングから防御しようとしている場合だけではありません。

  • ファイアウォールを使用する : すべての主要なオペレーティング システムには受信ファイアウォールが組み込まれており、市販されているすべての商用ルーターには NAT ファイアウォールが組み込まれています。悪意のあるリンクをクリックした場合に保護される可能性があるため、これらが有効になっていることを確認してください。
  • Web ブラウザにアクセスしようとしている Web サイトまたはその SSL 証明書に関する警告が表示された場合は、注意してそのサイトから離れてください。
  • 送信者と内容が正確にわからない場合は、メール内のリンクや添付ファイルをクリックしないでください。

結論

セキュリティと利便性は常にバランスを保っています。大衆向けのインターネットには両方が必要ですが、そのバランスを見つけるのは困難です。しかし、便利さが誇張されることもあります。たとえば、QRL はワンタイム パスワード (OTP) よりもはるかに便利ですか?考えてみてください。それでも、携帯電話を取り出し、カメラ アプリを起動して写真を撮る必要があります。それは、OTP アプリを開いてコピーして貼り付けるよりもはるかに便利ですか?それはわかりません。そして、私たちは今、余分なスワイプや二度のスワイプが取引の妨げになるほど「インターネットに疎い」のでしょうか?

利便性は便利かもしれませんが (当然のことですが)、常に安全であるとは限りません。インターネットは楽しくて興味深いものをたくさん見せてくれますが、インターネットはあなたの一部を欲しがる個人や組織が絶えない敵対的な場所であることを決して忘れないでください。したがって、少なくともより重要なオンライン アカウントには QRL を使用しないでください。また、Web ブラウザの自動ログイン機能ほど便利ではないかもしれませんが、OTP は、完璧ではありませんが、QRL よりもはるかに優れたセキュリティを提供します。利便性がわずかに低下するだけで、重要なセキュリティが向上することがよくあります。

^