そのＱＲコード、信頼できる？

１、街中のＱＲコード

　従来ＱＲコードといえば物流用の伝票に貼り付けてあったり、あるいは何らかの集計をとる
ためのいわゆるinBやB2B用途が多かったのですが、ここにきて缶ビールの印刷面に表示して
あったりとコンシューマ用途での携帯電話を利用したwebサイトへの誘導手段として定着しつつ
あります。
　そういった使われ方の一つにポスターや壁面広告にＱＲコードを貼り付けているケースや
あるいは街中で配っているチラシやティッシュに印刷しているケースも最近ではよく見られ ます。
　しかしそういう使われ方って一歩間違えるとセキュリティ上結構危ないように思えます。
　ここではそのあたりのお話を少々．．．

２、ＱＲコードを作ったのは誰？

　たとえば缶ビールの側面にＱＲコードが印刷されているようなケースでは、明らかにそれは
ビールメーカが作ったものと判ります。またそれ自身を改ざんすることは困難でしょう。
　しかしながら．．．

　街中のチラシって本当に信頼できる人が作っているのか？
　あるいは誰かが上からこそっと別のＱＲコードのシールを貼っていないか？

といったあたりが実に微妙です。

　上記のような悪意が介在するようなケースではユーザーが想定していたサイトと異なる
サイトへ誘導されるケースもありうるということです。
　このようなケースはたとえば文字でＵＲＬを記載しているケースも同様のリスクがある訳ですが
一文字づつ入力するケースに比べＱＲコードでの入力はユーザーがいちいちドメイン名などを
気にしないままサイトへアクセスする場合が多いと思います。
　また、文字を改ざんされた場合は正規の制作者は気づくことができますが、ＱＲコードが変わって
いても実際に読み込んでみないことには、判りづらいという点もリスクを大きくする要因といえます。

３、ではどうしたらよい？

　ユーザーは信頼できないＱＲコードを読み込むときは「ワンクリック詐欺」ならぬ「ワンスキャン詐欺」
とかあるいはフィッシングの危険性があることを認識すべきであると思います。

　そうは言っても便利な機能は使いたいものです。

　そこで提案。
　ＱＲコード読み取り時の接続はhttpsを基本とし、httpでの接続は「信頼できるとき以外は
接続しないでください」等の警告を出す処置でユーザーを保護する機能を端末には追加すべき
と思います。
　もちろん端末に入っているルート証明書から正しくたどれることが前提です。
(有効期間とか失効していないとかももちろん前提)

　SSLを使用したからといってそのサイトの運営者が１００％まっとうどうかの
保証にはなりませんが、まぁ誰でも立てれる素のサイトよりはマシかと。

いかがでしょうか？