QRコードはさまざまなところで使われている。たとえば美術館、展示物の横にQRコードを用意すれば、訪問者はこれをスキャンして作品に関する解説を見ることができる。レストランなら、テーブルの上の置き、顧客の会計をスムーズにできる。QRコードは1994年からある技術で、決してあたらしい技術ではない。しかし、QRコードの作成者は懸念を抱いている - セキュリティアップデートの必要があると感じているのだ。と英国セキュリティベンダーSophosの公式ブログに投稿するのは20年にわたりセキュリティやネットワーク、ソフトウェア開発分野で筆を執るDanny Bradbury氏。
最大で7,000文字という大容量の情報データ収納、小スペースへの印字、汚れに強く、その名が示すようにQuickなResponseで人々の生活を支えている。ご存じの方も多いだろうが、デンソー開発部門勤務時にQRコードを開発した原昌宏さんが、自動車部品工場での生産性向上のニーズに応えるべく開発している。今年で25年を迎えるQRコードだがデンソーウェーブではその歴史や歩みを特設サイトに掲載している。
中国をはじめ、2016年だけで1兆6500億ドルが決済で使われたとも言われるQRコードだがDanny Bradbury氏は、8月に行われたQRコード25周年記念イベントでの原さんの"Now that it’s used for payments, I feel a sense of responsibility to make it more secure."(QRコードが決済に使われるようになった。もっと安全にしなければという責任を感じる)というコメント(The Asahi Shimbun/朝日新聞Webサイトの海外向け)を引いて、原氏の懸念は的を射ている -- 悪意ある人はQRコードを使って、さまざまな方法で攻撃できるのだと解説している。
Danny Bradbury氏は、QRLjackingはその一例だ。Open Web Application Security Project (OWASP)が攻撃元区分としてリストしているように、QRLjackingは画面上に表示したQRコードをワンタイムパスワードとして使った時に攻撃が可能になる。攻撃者は合法的なWebサイトにあるQRコードをフィッシングサイトにクローンして、ターゲットに送ることができると説明。もう一つの懸念が、QRコードの偽造。悪意ある人は、自分たちが作成したQRコードを配置できる。これにより、ユーザーのスマートフォンをマーケティングや特別オファーのページにダイレクトするのではなく、このQRコードはユーザーをフィッシングサイトに送ったり、JavaScriptベースのマルウェアを仕込んだWebサイトに送ることができる。また、決済でQRコードが使われることが増えていることを受け、詐欺者が合法的な決済アドレスに送るためのQRコードを偽の決済URLに置き換えるという動きもあるそうだ。普及することにより、様々な詐欺行為が増加するのはブラウザやメールなどと同様だ。
QRコードの安全対策についてはすでにいくつかの提案が出ているそうだ。例えば、マサチューセッツ工科大学(MIT)の研究者がまとめた提案の1つが、暗号技術を使うことで、ログインに使うQRコードを外部者がクローンするのを防ぐというものだ。手順としては、オンラインアプリが暗号化されたQRコードをすでにログインしたことのあるモバイルデバイスに送る。ログインしたことのあるデバイスのみがこれを解読でき、2台目の端末が読み込めるように表示できる。QRコードにはアプリへのログインが可能になるURLが含まれている。運用環境で使われている暗号化されたQRコードログインシステムも複数ある。もう一つの提案として、デジタル署名情報をコードに埋め込んで、認証を確実にするというものもある。だがこの場合、追加データが多いというマイナス要素があるのだという。
Danny Bradbury氏は、これらはどれも素晴らしいアイディアだが、原氏にも考えはあるだろう。安全対策は急いだ方がいい。QRコードの普及は日々進んでおり、幅広く実装されるほど、その後デザインを変更するのが困難になるからだと述べている。NHKWebサイト(ビジネス特集「「QRコード」生みの親に聞いてみた」)には、鍵付きのQRコード「SQRC」など現在でもQRコードの改良に取り組む原さんの試みも掲載されている。
