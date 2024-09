親愛なる友人たち、あなたが私の記事を再び読んでくれてとてもうれしいです! QRコードはどのような危険をもたらす可能性があるのでしょうか? QRコードのメカニズムに基づくいくつかの攻撃により、暗号通貨だけでなく法定通貨やインターネットログインさえも失う可能性があることが判明しました.





I - QRコードとは?

QRコードは 二次元バーコード 保存できる 7,089 桁または 4,296 文字 .ほとんどのモバイル デバイスの既定のカメラに組み込まれている QR コード スキャナーまたはリーダーを使用してスキャンし、エンコードされているデータを解読できます。





これはテキストの文字列であり、通常は Web サイトまたは支払いシステム上のマーチャントの公式アカウントへの URL またはリンクです。 QR コードをスキャンすると、Web ブラウザーに長いアドレスを入力したり、支払いアプリにマーチャントのユーザー名や番号を手動で入力したりする手間が省けます。





によると コディ・キンジー 、セキュリティ研究者、 線形バーコードの制限に対する答えは 2D バーコードは、物理的な損傷が含まれる情報に影響を与えることに対する保存耐性を高めます。最初の 2D コードのいくつかは、現在でも広く使用されている以下のようなものです。









Aztec コードは、多くの点で QR コードに似ており、線形バーコードよりも多くの情報を保持できる、2D またはマトリックスの機械可読コードです。最初はロジスティクス用に開発されたもので、線形バーコードが提供できるよりも多くのデータを保存する必要がある場合に、パッケージや封筒で使用されることがあります。





他のタイプの 2D バーコードには、非常に高密度のデータが含まれる場合があります。たとえば、米国のほとんどの運転免許証の裏面にある PDF417 形式は、最大 1800 の ASCII 文字をエンコードできます。









上記のような PDF417 コードは、テキスト、数値、ファイル、および実際のデータ バイトをエンコードでき、線形バーコードよりもエラーに強くなります。 FedEx などの企業は、PDF417 とその他のバーコードを組み合わせて梱包明細に使用し、配送と追跡を自動化しています。





QR コードは、製造中の車を追跡する方法として自動車業界で始まりましたが、その業界の外で急速に人気が高まりました。他の 2D コードと同様に、QR コードは大量のデータをパックすることができ、解像度が低下したり破損したりしても機能します。









より大きなデータ容量によって可能になった QR コードの魅力的なアプリケーションの 1 つは、それらを使用して 管理 Wi-Fi 接続 パスワードをプレーンテキストで共有することなく。次の文字列をエンコードすることで、Android ユーザーを Wi-Fi ネットワークに自動的にログインさせる QR コードを作成できます。









QR コードが提供する利便性とモバイル デバイスの普及は、これらの 2 次元バーコードの普及に大きく貢献しています。ただし、その人気は、悪意のあるアクターが自分のセキュリティを強化するための肥沃な土壌も生み出しています。





QR コード マルウェア ツールキットは、個人情報だけでなく、失われると回復することが不可能な苦労して獲得した資産も盗みます。 QR コードに関連する脅威が非常に蔓延し、狡猾になっているため、FBI は最近、 警告 それらについて。









代理店が説明しているように、詐欺師は被害者に連絡し、愛やさらなる富を約束するか、銀行や公益事業会社などの実際の機関になりすまして、送金する必要があることをどうにかして説得します。





マークが確信した後、詐欺師は彼らに現金を(場合によっては投資口座や退職金口座から)手に入れさせ、暗号通貨を販売し、QR コードの読み取りをサポートする ATM に向かいます。被害者がそこに着くと、詐欺師が送信した QR コードをスキャンします。これにより、購入した仮想通貨を詐欺師のアドレスに送信するようマシンに指示します。





このように、被害者はお金を失い、詐欺師はそれを悪用することに成功します。









悪意のあるアクターは、QR コードの安全性について、まったく知らないとしても、よく知らない、疑いを持たない普通の人を探します。では、QR コード詐欺を回避するにはどうすればよいでしょうか。





この記事では、詐欺師が QR コードを使用してユーザーを欺くさまざまな方法について説明し、ユーザーが QR コード詐欺から身を守るためのヒントをお勧めします。





まず、どのような攻撃が存在するかを定義しましょう。最初に頭に浮かぶものから始めましょう。暗号通貨と QR が単なるツールである銀行口座のお金に対する攻撃です。





がっかりしないでください。今後もさらに深刻な攻撃が行われる予定ですが、政府機関がこのような取るに足らないタイプの詐欺にそれほど注意を払うことはめったにないことを理解しておいてください。おそらく、このタイプを最初から殺し、QR を通じてそのような攻撃を人々に知らせる理由があるのでしょう。





すべてがどこから始まったのかを考えてみましょう!次の例に示すように、悪意のある攻撃者は、QR コードを利用した詐欺を正当かつ有用に見せるために多大な時間とリソースを費やしてきたことに注意することが重要です。

オーバーレイ QR コード

物理的な領域に依存する QR コード詐欺の典型的な例は、悪意のある攻撃者が QR コード ステッカーを印刷し、本物のステッカーの上に物理的に配置することです。人々は一般的に、店舗や公共スペースにある QR コード付きの標識やポスターは安全であると想定しているため、悪意のある攻撃者が不正なスキームの一環として正規の QR コードを偽の QR コードに置き換える可能性があることに気付いていない可能性があります。





これは、 中国での自転車シェアリング .伝えられるところによると、悪意のある攻撃者は、ロックを解除する前にユーザーが自転車の使用料を支払うためにスキャンする必要のある QR コードを置き換えました。





その結果、疑いを持たないユーザーの支払いは悪意のある攻撃者のアカウントに転送され、ユーザーは自転車のロックを解除して使用することができませんでした。



つい最近、米国のいくつかの都市で法執行機関が同様のスキームについて警告を発しました。悪意のある攻撃者は、__ パーキング メーター__の正当な QR コードに不正な QR コードを貼り付けて、ユーザーをだましてフィッシング Web サイトに支払い資格情報を入力させました。

現実世界のソーシャル エンジニアリングで使用される QR コード

物理的な領域を利用した QR コード詐欺の別の例として、中国の駐車場で実行された手口があります。 オランダ そして、それが数千ユーロの盗難につながりました。





伝えられるところによると、悪意のある攻撃者は、駐車場の指定された機械が壊れているという理由で、駐車料金を支払うように個人に近づきました。より信頼できるように見えるようにプロ並みの服装を着て、詐欺師は犠牲者をだまして、代わりに持っているQRコードをスキャンさせ、それによって支払いを自分のアカウントに転用しました.

フィッシングメールの QR コード

詐欺師は次のように知られています QRコードを組み込む フィッシング攻撃、「キッシング」として知られる慣行。これは主に、悪意のある URL が電子メールに表示されたときにフラグを立てることができるが、QR コードにリンクされている (または背後に隠されている) ときにはフラグを立てない従来のセキュリティ ソリューションを回避できるようにするためです。





2021 年 12 月、QR コードを使用してドイツのユーザーの銀行認証情報を盗むフィッシング キャンペーンが報告されました。このキャンペーンでは、悪意のある攻撃者が銀行になりすまして電子メールを送信し、電子メール内の QR コードをスキャンして銀行のプライバシー ポリシーの変更を確認し、同意するよう受信者に求めます。しかし、QR コードはフィッシング サイトにリンクしており、被害者は無意識のうちに銀行の資格情報を入力して、悪意のある攻撃者が収集できるようにしています。





Microsoft 365 を取得するためのキッシング スキーム 資格情報も昨年末に報告されました。このキャンペーンは、以前に侵害された電子メール アカウントから送信され、受信者が電子メールの QR コードをスキャンすることで聞くことができると思われるボイスメール メッセージを含む電子メールから始まります。ただし、QR コードは、Microsoft 365 の資格情報を盗むように設計された偽のログイン ページにつながります。

プレミアムサービスに加入するためのQRコード

悪意のある攻撃者は、QR コードを使用して疑いを持たないユーザーをプレミアム サービスに登録し、これらのユーザーに毎月請求される資金を盗むことができます。このスキームは、として知られる Android トロイの木馬キャンペーンで使用されました。 グリフホース 、2021 年 9 月までに世界中で 1,000 万人以上のユーザーが犠牲になりました。

QR コードおよびバーコード スキャナー アプリ

2021 年半ばには、 Anatsa マルウェア Google Play に登場しました。 (その後、ストアから削除されました。) このようなアプリへの感染は、ユーザーが引き続きアプリを使用できるように、インストール時にアプリの更新を強制することから始まります。





想定される更新プログラムのダウンロードが成功した後、アプリはユーザーに不明なソースからのアプリのインストールを許可するように求めます。ユーザーは以前、アプリが正常に動作するためには更新が必要であると信じ込まされていたため、ユーザーは許可を与えます。更新が完了すると、マルウェアはデバイス上で実行され、すぐにユーザーにアクセシビリティ サービスの権限を付与するよう求めます。





ユーザーがユーザー補助サービスの権限を有効にすると、悪意のあるアクターがデバイスを完全に制御し、ユーザーに代わってアクションを実行できるようになります。この時点で、マルウェアに感染したアプリが実行され、正規のアプリとして動作します。したがって、悪意のある攻撃者がログイン資格情報を盗み、無防備なユーザーのデバイスに表示されているすべての情報にアクセスするための準備が整っています。

QRコード作成アプリ

トロイの木馬化されたアプリは、QR コード作成アプリになりすますことができます。悪意のあるグループによるスキームで ブルンヒルダ、 このようなアプリは、ユーザーに登録を求めます。登録が完了して詳細なデバイス情報を取得すると、アプリはトロイの木馬のペイロードをダウンロードしてインストールします。これにより、ログイン資格情報や銀行口座の詳細などの機密性の高い個人情報が盗まれる可能性があります。

Doxxingで使用されるQRコード

まず、誰でもトラッキング ピクセルを作成し、ページにリンクしてから、QR コードにリンクできます。一般的なロガー ( canarytokens.org 、 iplogger.com ) ロガー設定で拡張データの受信が有効になっている場合、この目的で使用できます。





作成したピクセルは、外部サイトに配置することもできます。ブログかもしれません( 電信 、 medium.com 、 teletype.in ) または OSINT ソースページ ( start.me ) を QR コードにリンクすることができます。

III - QR コードのバグと問題

アップル IOS 11

iOS 11 で、Apple は新しい機能を導入しました これにより、ユーザーはサードパーティの QR コード リーダー アプリを必要とせずに、iPhone のネイティブ カメラ アプリを使用して QR コードを自動的に読み取ることができます。





iPhone または iPad でカメラ アプリを開き、デバイスを QR コードに向ける必要があります。コードに URL が含まれている場合は、リンク アドレスが記載された通知が表示され、タップして Safari ブラウザーでアクセスするよう求められます。ただし、注意してください — 表示された URL にアクセスしていない可能性があります。セキュリティ研究者の Roman Mueller 発見した .





Mueller 氏によると、iOS カメラ アプリに組み込まれている QR コード リーダーの URL パーサーが URL 内のホスト名を検出できないため、攻撃者は通知に表示された URL を操作して、ユーザーをだまして悪意のある Web サイトにアクセスさせることができます。









デモのために、研究者は次の URL で QR コード (上に表示) を作成しました。





https://xxx\\@facebook.com:[email protected]/

If you scan it with the iOS camera app, it will show following notification:

Open "facebook.com" in Safari

When you tap it to open the site, it will instead open:

https://infosec.rm-it.de/





と呼ばれるツールもあります。 QRGen - 悪意のある QR コードを作成し、カスタムメイドのペイロードをエンコードすることさえできます。人間は QR コードに含まれる情報をスキャンせずに読み取ったり理解したりすることができないため、これらの攻撃は強力です。





スマートフォンのような QR コード スキャナーでさえ、この種の攻撃に対して脆弱である可能性があります。 iPhone ユーザーを悪意のあるサイトに誘導する機能 .説明しているこの素晴らしい記事をチェックしてください このツールがどのように機能するかを詳しく説明します。

Discord QRログイン

2020 年 12 月、ゲーム コミュニティで広く使用されている音声およびテキスト チャット アプリである Discord の開発者は、 QRコード機能 画面に表示されるコードをスキャンすることで、ユーザーが自分の電話を使用してデスクトップ Web クライアントにログインできるようにします。









この機能は、デスクトップ ユーザーの Discord ログイン プロセスを簡素化することを目的としていましたが、詐欺師がシステムを悪用してアカウントへの不正アクセスを取得しているというニュースが表面化しました。





さまざまな Discord サーバーやソーシャル メディアでの議論によると、詐欺師は無料を約束する QR コードを投稿しています。 ニトロ 、多数の特典やその他の景品を提供するプラットフォームのサブスクリプション パッケージです。









しかし、コードをスキャンする際に、ユーザーはうっかり攻撃者に自分のアカウントへのアクセスを許可してしまいます。





「QRによるログイン方法は、ユーザー名/パスワードや2FAなしで機能します.Discordはどこにいてもログインするのがはるかに便利になりますが、残念ながら、偽のNitroギフトの形で悪用されています. 」と 1 人の Discord ユーザーが言いました。





このエクスプロイトの潜在的な深刻度については、意見が分かれています。一部のユーザーにとっては、アカウントが侵害されてもフラストレーションを感じるだけかもしれません。





ただし、リリース後、 コンセプトの証明 Twitch パートナーの Pirate Software は、悪用が明らかに簡単であることを示すために、ユーザーが Nitro サブスクライバーである場合、攻撃者はそのユーザーの名前、アドレス、および 難読化されていない PayPal メールアドレス .









Discordは、コメントのリクエストにすぐには応答しませんでした.スタッフは、 Reddit ディスカッション スレッド 、詐欺師を阻止するために、QRコードログインウィンドウが縮小されたことに注意してください.





「最近、QR コードの有効期間を 10 分から 2 分に短縮しました。」 言った ある Discord エンジニアは、次のように付け加えました。





私たちは… ソーシャル エンジニアリングを利用してユーザーに QR コードをスキャンさせ、自分が制御していない別のデバイスにログインさせようとする人々が増加していることに気付きました。

私たちの当初の考えでは、画面上の言葉遣いはソーシャル エンジニアリング攻撃を阻止するのに十分であると考えていましたが、より明確な言葉遣いや警告を配置できることに同意します。





モバイル アプリのリリース チャネル全体で、確認画面の言葉遣いを変更して、別のデバイスにログインしていることをより明確に強調し、[ログイン] ボタンがアクティブになる前に遅延を課しました (できれば赤いテキストを読んでもらいたい)。 .) この新しい画面を見ることができます ここ .





この問題は、複数の Discord サーバーで議論されているだけでなく、ソーシャル メディアにも広がっており、1 人のユーザーが利用しています。 つぶやく : 「PSA: 誰かが Discord 経由で QR コードを送信した場合は、スキャンしないでください。彼らはそれを使用して、あなたのアカウントにすぐにアクセスできます。」









「ここではかなりの量の誤った情報が作られています」と彼らは言いました。 言った . 「Discord では、攻撃者がアクセスする前にログインを確認する必要があります。 Discord からの警告を無視するだけなら、それはあなたの責任です。ただ賢く、それらの攻撃に引っかからないようにしてください。」





しかし、Reddit では、「攻撃に引っかかるな」という主張は的を射ていませんでした。





「私は、『あなたがフィッシングを受けているなら、それはあなたのせいだ、今は怒鳴り散らしてください、不和は何も変わらないはずだ』というエリート主義を理解していません。」 書きました 1 人のユーザー。 「安全で健全なものを作成してください。『ああ、その QR コードを使用してログインできます。はっきりとそう言っているのに、あなたは注意を払っていませんでした…』」









QR を使用する他の多くのアプリケーションにこの脆弱性があることを知っていますか?たとえば、テレグラムでは?もちろん、質問は修辞的です。

IV - QR + 暗号 = ?..

あなたのキツネを安全に保ちましょう!

詐欺師は QR コードを使用してユーザーをだましてダウンロードさせる可能性があります 偽造暗号通貨ウォレット そうすることで、偽のトークンである報酬を受け取ることを約束することによって。別の種類の餌には、QR コードを使用して、マイナー手数料の削減を約束する偽の暗号通貨ウォレットをダウンロードすることが含まれます。





関連するもう 1 つの詐欺は、QR コードを使用して、ある暗号通貨ウォレットから別の暗号通貨ウォレットへの資産の転送を容易にするために使用されるトークンの承認を不正に取得することです。 事件報告 は、多額の資金を失った主な理由としてこのスキームを挙げています。





また、イーサリアム ブロックチェーンとやり取りするための暗号通貨ウォレットである MetaMask が関与する暗号通貨関連の QR コード詐欺。悪意のある攻撃者は、QR コードを介して MetaMask エクステンション アカウントにハッキングし、アカウント所有者の秘密鍵なしで資金を送金する可能性があります。









「これはいくつかのレベルで信じられないほど恥ずかしいことだ、とニコラスはツイートした。 「他の人にとっては、信じられないほどトラウマになります。はい、QR コードを開いて台帳に署名しました。しかし、私はひどく操られていて、手遅れになるまで何が起こっているのかわかりませんでした.私は詐欺、フィッシング、強盗に遭いました。一部の嫌いな人は、「それはあなたが得るものだ」と言うでしょう。そして多分彼らは正しい。しかし、はっきりさせておきますが、詐欺は詐欺であり、窃盗は窃盗であり、私はそれらの資産を譲渡または売却するつもりはありませんでした.だから今、私は自分の財産を取り戻す方法を見つけようとしています。」









新しい詐欺の手口を見てみましょう!手当と混同しないでください 詐欺を承認する (それを防ぐために使用できます revoke.cash / unrekt.net ) ERC20 トークンをターゲットにしていますが、Ethers はターゲットにしていません。 ( 1 、 2 、 3 、 4 )。









ZenGo ウォレットの背後にいる人々が QR コードのサポートを追加したいと考えたとき、最初にセキュリティ面について少し調査することにしました。彼らが発見したことは不穏なものでしたが、完全に予想外というわけではありませんでした。誰でも、意図したアドレスではなく、自分のアドレスに送金する QR コードを簡単に生成できます。ほとんどすべての QR コードが似ているため、誰も判断できません。

ZenGo からの調査:

例えば、 ZenGo は Google で検索したサイトを使用しました アドレスの QR コードを要求する: 18Vm8AvDr9Bkvij6UfVR7MerCyrz3KS3h4 、代わりに、詐欺師のアドレスに送金する QR コードを受け取りました: 17bCMmLmWayKGCH678cHQETJFjhBR44Hjx





興味深いことに、彼らはいくつかの 詐欺師 いくつかのトリックでアンティを上げました。偽の QR コード サイトの中には、QR コードを操作して、「1」、「3」、「bc」などの最初の文字または数字を照合することで、表面的に正しい住所のように見えるようにしたものがあります。





他の人はコードをいじくり回して、アドレスをコピーして貼り付けて再確認しようとすると、サイトは自分のアドレスではなくあなたのアドレスをクリップボードにコピーして、一致すると思わせるようにします. ZenGo は、調査したアドレスを使用して約 20,000 ドル相当の詐欺されたビットコインを追跡し、それは氷山の一角に過ぎないと信じていました!





私の意見では、ここでデバイスの分離の原則に役立つことを付け加えます-1つのクリーンなデバイスで airgap.it QR をスキャンすることができ、もう 1 つはブラウザ上にあるだけで、3 番目に安全なコールドまたは紙のストレージ - 基本的な節約を保存できます。メインの「ホット サム」を同じ分割保管庫に保管することを妨げるものは何もありません。おげんきで!

V - QRLJacking: OWASP コミュニティからのレビュー

QRLJacking またはクイック レスポンス コード ログイン ジャッキング は、アカウントに安全にログインする方法として「QR コードによるログイン」機能に依存するすべてのアプリケーションに影響を与えるセッション ハイジャックが可能な単純なソーシャル エンジニアリング攻撃ベクトルです。簡単に言えば、被害者は攻撃者のセッション ハイジャックの QR コード結果をスキャンします。





QRLJacking 攻撃が舞台裏でどのように機能するかを次に示します。





攻撃者はクライアント側の QR セッションを開始し、ログイン QR コードをフィッシング Web サイトに複製します。 「これで、定期的に更新される有効な QR コードを含む巧妙に作成されたフィッシング ページが被害者に送信される準備が整いました。」 攻撃者は、フィッシング ページを被害者に送信します。 (参照する QRLJacking の実際の攻撃ベクトル ) 被害者は特定のターゲット モバイル アプリで QR コードをスキャンします。 攻撃者は被害者のアカウントを制御できます。 このサービスは、被害者のすべてのデータを攻撃者のセッションと交換しています。

QRLJacking 攻撃の流れ









QRLJacking ツールと追加機能の詳細については、次の Web サイトをご覧ください。 Github の QRLJacking

概念実証の例 (ビデオ)

VI - QR コードの安全性を確保するためのヒント

この記事で説明されているスキームは気になるように見えるかもしれませんが、ユーザーは、 トレンドマイクロ :





個人情報を提供する前に、リンク先の政府機関またはその他の公的サービス プロバイダーのウェブサイトが正当であることを確認してください。 URL 自体にスペルミスがないか確認してください。

送信された電子メールに記載されている QR コードをスキャンする前に、よく考えてください。それが組織や知人から送信されたように見える場合でも同様です。ログイン資格情報の盗難を防ぐために、銀行、企業、およびその他のアカウントで多要素認証を有効にします。

加盟店またはサービス プロバイダーの敷地内で取引する場合は、QR コードをチェックして、元の正当なコードに重ねて貼り付けられていないことを確認してください。

QR コードを使用して支払いを行うのは、信頼できる業者、サービス プロバイダー、または知り合いと直接取引する場合のみです。

要求されたアクセス許可の一部は危険である可能性があるため、アプリがアクセス許可を要求したときにアクセス許可を付与する場合は注意してください。





QR コードは多くの情報をエンコードできますが、 また、今日学んだように、デバイスが Wi-Fi ネットワークへの接続などのアクションを実行するようにフォーマットすることもできます。そのため、QR コードのスキャンは危険です。内部に含まれるペイロードにデバイスをさらす前に情報を読み取る方法がないためです。





疑わしいと思われる QR コードをスキャンした場合は、コードが起動しようとしているものに注意し、Wi-Fi ネットワークに接続したり、短縮されたリンクに移動したりしないでください。一部の研究者は、 ブロックチェーン全体の匿名性をQRで! これは、この技術がすでに Web2.0 にあるだけでなく、Web3.0 にも未来があることを意味します。





ほとんどの QR コードはスマートフォンで安全にスキャンできるはずですが、チケットや搭乗券をスキャンするためにデバイスで今日生成されたペイロードをスキャンすると、デバイスで奇妙な動作が発生する可能性があります。イベントや作業の直後に作業する必要があるスキャナー、またはテストする権限のないスキャナーでペイロードをスキャンしないでください。これらのペイロードの一部は、スキャナーの動作を停止させる可能性があります。





このすべてを順守するようにお願いしているわけではありませんが、この特定の場合の主なルールを覚えておく必要があります。









最終的に人々に銀行になる機会を与えたいのであれば、この場合、人々は従来の銀行がお金を得るすべてのサービスと行動を置き換えることができなければならないことを認識しなければなりません!





フォローする 25のルール このセットでは、最初の 10 個のルールは個人のセキュリティに関連し、残りは企業のセキュリティに関連しています。 最新のトレンド 暗号 OpSec では、それは常に理にかなっています。恐れないで リンク 、すべてが必要というわけではありませんが、Pathway で最も興味のあるものを選択できるはずです。









使用する 広範な対策 ファイルを操作するときと常に 最新のセキュリティに目を光らせる あなたの地域がそれから遠く離れていても、トレンド。これを取る サブレディット そして、この素晴らしい古くて信頼できる 資源 最初のステップとして。私たちの危険な世界では、誰もがターゲットになる可能性があります。特に暗号通貨ではそうです。





とはいえ、どの業界に属しているかは問題ではありません。機密情報や専有情報を持っている場合は、ターゲットになる可能性が非常に高くなります。これは、常に心に留めておくとよいことです。また、QR コードにさらに多くの脆弱性が潜んでいることを誰が知っていますか? QR Code 0day、QR Code 1 day、または QR code CVE をグーグルで検索すると、多くの興味深いことがわかります。たとえば、 1 、 2 .





最新を学ぶ 攻撃テクニック 、 ホワイトハットチートシート 、 そして防御方法、 そしてハッカーに参加 コミュニティ -ハッカーの知識を打ち負かすことができるのは知識だけだからです。この知的な戦いでは、最も準備ができている人が勝つと信じています。恐ろしく聞こえますが、可能です。主なことは常に 先を考える .





警告は警告です!おげんきで!

