メモ
2020年に世界的に流行した新型コロナウイルス感染症(COVID-19)により、タッチ決済などの非接触型技術が急速に普及しました。こうした非接触型技術の1つである、正方形の白黒コードをカメラで読み取る「「QRコード」について、暗号化プロトコルの専門家であるテネシー大学コンピューターサイエンス科のスコット・ルオーティ助教が解説しています。
How QR codes work and what makes them dangerous – a computer scientist explains
https://theconversation.com/how-qr-codes-work-and-what-makes-them-dangerous-a-computer-scientist-explains-177217
QRコードはトヨタグループに属する自動車部品メーカーのデンソーが1994年に開発した技術です。当時デンソーの製造工場は各種部品をバーコードで管理していましたが、「たった1つの作業のために複数のバーコードを読み取る必要があり手間がかかる」という現場の声に応える形で、開発部門の原昌宏氏が横方向にしか情報を持たないバーコードとは異なり「縦横に情報を持つ」というQRコードを開発。「まず普及を」という理念に基づいてオープンソースとして提供したところ、自動車産業の枠を超えて急速に普及が進みました。
History of QRcode – YouTube
[embedded content]
ルオーティ助教によると、QRコードは「1)データ」「2)ポジショニング用のマーカー」「3)空白部分」「4)ロゴ」の4要素で構成されています。
QRコードのデータは白黒の正方形である「セル」のパターンによって記録されており、ざっくり言うと「白が1、黒が0」という二進法によってURLなどの情報を格納しています。1つのQRコードに記載できるセル容量は21セル×21セルから177セル×177セルまでで、最大データ量は数字ならば7089字、英数字ならば4296字、漢字ならば1817字。なお、セルは前述のように白黒の正方形がほとんどですが、ルオーティ助教いわく「実は色や形に指定はない」とのこと。
ポジショニング用のマーカーは、QRコードの左上隅・右上隅・左下隅に記載された正方形で、スマートフォンのカメラなどのデバイスがQRコードの向きを正しく判断するためのもの。空白部分は、コンピューターがQRコードの記録範囲を正常に認識するためのもの。ロゴは企業情報などを記載するための部分で、あってもなくてもOKだそうです。
ルオーティ助教がロゴに関連するQRコードの特長として挙げているのが、「誤り訂正機能」です。誤り訂正機能はQRコードの一部が破損・汚損などで読み取れなくてもコード自体がデータを復元するというもので、最高設定においては全体の30%が読み取れなくてもデータの復元が可能とのこと。QRコードはこの誤り訂正機能によって、ロゴで一部が隠れていても問題なく運用できるという仕様です。
なお、2019年にはデンソーの開発部門がスピンアウトする形で誕生したデンソーウェーブが「全体の50%が読み取れなくても機能する新型QRコード」を開発しており、この新型QRコードを組み込んだホームドア自動開閉システムの実証実験が2020年に行われています。
デンソーウェーブが開発した新型QRコードを用いたホームドア開閉制御システムがJR金山駅で実証実験を開始|デンソーウェーブ
以上のようにQRコードはURLなどの文字列情報を格納するための技術で、本質的に危険性はありません。ただし、電子メールに記載されたURLをクリックするのにセキュリティ上の問題があるのと同様、QRコードに記載されたURLにアクセスする行為にもセキュリティ上の問題があります。
ルオーティ助教によると、QRコードに記載されたURLにアクセスした場合、正常なサイトを模倣してアカウント情報を盗み取るフィッシングなどの被害に遭う危険性が考えられるとのこと。なので、QRコードによく見知った企業のロゴが入っていたとしても、URLの安全性をしっかりと検証してからアクセスすべき、というのがルオーティ助教の意見です。
そのほか、QRコードのスキャンアプリに「悪意のあるQRコードを読み取った際にデバイスが乗っ取られる脆弱性」が存在したというケースもあったとのこと。この脆弱性は悪意のあるQRコードに記載されたURLにアクセスしたタイミングでデバイスが乗っ取られるのではなく、「悪意のあるQRコードを読み取った瞬間」にデバイスが乗っ取られるそうで、ルオーティ助教は「デバイスの製造元が提供するQRコード読み取りアプリ・機能を使って下さい」とコメントしています。
この記事のタイトルとURLをコピーする
