キャッシュレス化のキーとなるQRコードにセキュリティ上の弱点が見つかる

久保田 博幸

電子決済や広告などに広く利用されている「QRコード」に、偽の情報を仕込むことができるセキュリティ上の弱点があることが、神戸大学のグループの研究でわかったとNHKが伝えた。

QRコードとは、1994年にデンソーの開発部門(現在はデンソーウェーブ)が開発したマトリックス型の二次元コードである。QRコードはデンソーウェーブの登録商標となっているが、特許権者のデンソーウェーブは、規格化された技術に対し特許権を行使しないと宣言していることから、様々な分野に利用されている。

QRコードを使った電子決済に関しては、中国系のAlipay、WeChat Payが一気に普及させ、日本でもLINE Pay、楽天ペイ、Origamiといったサービスが登場したが、いまのところそれほど普及は進んでいない。

しかし、ヤフーもQRコードを使った決済サービスを開始し、セブンイレブンも独自のスマホ決済を導入すると報じられ、NTTドコモ、KDDI、JCB、さらにメガバンクなどもQRコード決済サービスを進める計画を発表した。そして、三菱UFJフィナンシャル・グループ(FG)、三井住友FG、みずほFGはQRコードの規格を統一することで合意したと伝えられている。

ただし、規格が分かれたまま普及が進むと、消費者や小売店の利便性を損ねると判断した経済産業省はQRコードを使った決済の規格統一に乗り出すとも伝えられている。

このようにキャッシュレス化のキーとなるQRコードではあるが、当然ながらそのセキュリティにも注意を払う必要がある。

このQRコードのセキュリティについて、神戸大学の森井昌克教授らのグループが検証したところ、コードを作成する際に不正な操作を加えると、本来の情報に加えて、偽の情報を仕込むことができることがわかったそうである(NHK)。

QRコードは一見しただけでは内容がわからないため、誘導された先が正しいかどうかチェックを強化する必要があると森井教授はコメントしている。中国では改ざんしたQRコードを正しいコードの上から貼り付ける手口で、代金をだまし取られる被害も出ているそうである。

今後、日本でもQRコードを使った電子決済が急速に拡大する可能性があり、このようなセキュリティ上の弱点が存在することも意識しておく必要がありそうである。


編集部より:この記事は、久保田博幸氏のブログ「牛さん熊さんブログ」2018年6月26日の記事を転載させていただきました。オリジナル原稿をお読みになりたい方はこちらをご覧ください。