最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆Windowsの「タスクスケジューラ」に未修正の脆弱性見つかる(2018/08/31) | メイン | ◆モジラ、深刻な脆弱性を修正した「Firefox 62」を公開(2018/09/06) »

2018/09/04

◆細工されたQRコードで「位置情報」流出のおそれ――流出を防ぐスマホの設定法(2018/09/04)

 細工したQRコードを特定のリーダーアプリで読み取ると、端末のGPSが計測した精密な位置情報などが外部に送信され、無断で第三者に提供されていたことがわかった。サービスの運営会社は、8月28日までに取得情報の提供を中止、9月4日未明にはAndroid用アプリの位置情報使用も停止した。

 QRコードは、デンソーウェーブが開発したバーコードの平面版のこと。小さなドットで構成された四角い図形を対応アプリで読み取ると、図形に埋め込まれた情報が取得できる仕組みだ。標準で読み取り機能に対応したスマートフォンも多く、URLや連絡先の取り込が簡単に行えるほか、チケットや決済などにも使われている。

 様々な用途に広く利用されるも見た目では中身も違いも全く分からないQRコードに、通常の読み取りアプリでは分からない細工をすることができ、実際にそれが公式アプリで行われていたことがわかり、ネット上で大きな話題となった。

 問題が見つかったのは、同社とアララ社が共同開発した「公式QRコードリーダー“Q”」。 公式のQRコード作成・解析サイト「QR Codeメーカー」で「アクセス解析」付きで作成したQRコードを読み込むと、読み込み時点の経緯度情報などがサーバーに送信され、そのQRコードの作成者に取得した情報が提供されるようになっていた。アプリは「App Store」や「Google Play」で無料配布されており、説明では、「位置情報を地図のQRコードの読み取り、作成に使用する」としていたが、読み取り時に外部に送信し、QRコードの作成者に提供するとの説明は一切なかった。

 QRコード作成者に提供していた解析情報は、経緯度情報のほかに、読み取り日時、ユーザーID、IPアドレスなど。犯罪への悪用も懸念され、8月27日にネット上で騒ぎになった。同日、解析サイトでの経緯度情報の提供が停止。翌28日には、ダウンロード提供していた生データの提供も中止したが、その後もアプリで読み取るたびに、位置情報の送信が続いていた。

■今すぐ位置情報の使用を停止したい場合

 「Google Play」で配布していたAndroid用の公式アプリは、9月3日付で更新され、位置情報の使用が中止された。「App Store」で配布中のiOS用公式アプリは、4日午後時点ではまだ更新されていないが、準備が整い次第、位置情報の使用を中止した最新版が公開されると見られる。今すぐ位置情報の使用を停止したい場合は、[設定]アイコンから[プライバシー]→[位置情報サービス]と進み、「QR Code」アプリをタップ。位置情報の利用を「許可しない」に設定する。地図上の場所からQRコードを生成する際に、現在位置に移動しなくなる以外に特に弊害はない。

■「不要なアクセスは許可しない」設定法

 使用目的を説明せずに、あるは偽って、必要以上のアクセス権を求めるアプリがある。不審なアプリは使わないに越したことはないが、それでも使用する場合には、アクセス許可を制限することも可能だ。

 インストールしたアプリのアクセス制御は、iPhoneなどのiOSとAndroid 6以降の端末で利用できる。アプリの起動時やプライバシーなどに関わる機能の利用時に、システムが利用を許可するかどうかを確認して来るので、許可しなければその機能が利用されることはない。QRコードの読み取りアプリならば、「カメラ」の使用許可さえ与えれば事足りるはずだ。

 許可済みのもの(インストール時に一括して許可したものを含む)は、iOS端末は[設定]の各アプリアイコンでアプリ別に、[プライバシー]で使用する機能別に設定できる。Android端末は、[設定]からアプリ関係のメニューに進むと、[アプリ情報]などでアプリ別に、[アプリの権限]などで使用する機能別に設定できる。

 一部のAndroid端末は、アプリごとにバックグランドでのデータ通信やモバイルデータ通信、Wi-Fiデータ通信の使用を制限できるものもある。通信できないようすれば、取得されても外部に送信されずに済むかも知れない。iOSは、バックグランド更新、モバイルデータ通信は個別に制限できるが、Wi-Fiは制限できない。通信を全て遮断したい場合には、機内モードを利用すると良い。通信制限機能のないAndroid端末も機内モードであれば外部にデータを送信されずに済む。

 データ通信を遮断するとアプリが利用できなくなってしまったり、機能に制限が生じたりすることもあるので注意が必要だ。例えば「公式QRコードリーダー“Q”」の場合は、通常のQRコードの読み取りに支障はないが、「フレームQR」の読み取りや地図表示などのデータ通信に依存する機能が利用できなくなってしまう。

(2018/09/04 ネットセキュリティニュース)

【関連URL】
<発端となった投稿>
・「公式」QRコードリーダーを使うと読み取り時の位置情報がQRコード作成者に提供される(スラド)
https://srad.jp/submission/78134/
・mala氏のツイート(twitter)
https://twitter.com/bulkneets/status/1033790836494876672

<QRコードメーカーの告知>
2018/08/27 アクセスログCSVに記載されていた緯度経度情報の提供終了について
2018/08/28 アクセスログCSVダウンロードサービスの提供終了について
https://m.qrqrq.com/service/news/
・公式QRコードリーダー“Q”(アララ)
http://www.arappli.com/service/q/
・QRコードメーカー(デンソーウェーブ、アララ)
https://m.qrqrq.com/

投稿情報: 04:46 |

|