Loading theme
·6分で読める

QRコードのリダイレクトハイジャック:見えない仲介者

QRが機能している間、仲介者は見えません。壊れたときにはもう遅い。リダイレクトモデルを理解することがそれを避ける第一歩です。

あなたが今までスキャンしたどの動的QRコードにも、あなたが選んだわけではない第三者が関わっていました。携帯のカメラと宛先サイトの間で、QRプロバイダーの所有するリダイレクトサーバーが静かにリクエストを転送していました。ほとんどのユーザーは気づきません。それが狙いです。

この記事では、リダイレクトハイジャックが実際にどう見えるか、仲介者が何をしているか、何が賭けに出ているかを説明します。

リダイレクトの流れ

https://shop.example.com 用の静的QRをスキャンするとき:

  1. カメラがQRを読む
  2. OSがURLとして認識する
  3. ブラウザが https://shop.example.com を開く

3ステップ。第三者なし。

同じ宛先の動的QRをスキャンするとき:

  1. カメラがQRを読む(https://qr-provider.com/r/x7n2 のようなものを符号化している)
  2. OSがそのURLを開く
  3. qr-provider.com がリクエストを受け取り、ログし、データベースで x7n2 を検索
  4. qr-provider.com が https://shop.example.com への301または302リダイレクトを発行
  5. ブラウザがリダイレクトをたどり、実際の宛先に到達

5ステップ。ステップ3に余分な当事者 — あなたが合意も支払いもしていない、見えない者。

仲介者が手に入れるもの

各スキャンは次を含むサーバーログエントリを生成します:

  • スキャンのタイムスタンプ
  • スキャナーのIPアドレス
  • user-agent文字列(デバイス、OS、ブラウザ)
  • リファラーヘッダー(該当する場合、スキャナーの元)
  • Accept-Languageヘッダー(言語設定)

ここからプロバイダーは推論できます:大まかな地理的位置、デバイスの種類、OSバージョン、集計するとスキャンの時間的パターン。顧客には「分析」として売られます。同時に、同意したことのないスキャンする人々への監視でもあります。

仲介者にできること

宛先を変更する

リダイレクト宛先はプロバイダーのデータベースにあります。QRオーナーはダッシュボードから編集できるのが普通です。機能として売られ、一部のユースケースでは実際にそうです。しかしそれは、QRコードが見た目通りのものではないことを意味します。物理アーティファクトは「スキャンして当社サイトを訪問」と言いますが、実際の動作は今日プロバイダーのデータベースが言うことです。

リダイレクトを無効化する

オーナーのサブスクが失効、アカウントが閉鎖、プロバイダーの利用規約に違反した場合、リダイレクトは削除されます。QRコードの印刷コピーはすべて直ちに動作しなくなります。スキャン者は一般的なエラーページか404を見ます。

中間ページを挿入する

プロバイダーによっては、最終リダイレクト前に動的QRのスキャンを自社ブランドの中間ページ経由で流します — 広告を出したり、同意を求めたり、メールを収集したり。QRオーナーは通常これに同意していません。プロバイダーがより攻撃的に収益化するにつれて後から追加されます。

スキャンデータを売るか漏らす

スキャンログには価値があります。分析ブローカーに売られ、広告ターゲティングモデルの学習に使われ、そして少なくともいくつかの記録された侵害ではプロバイダーが侵害された際に漏洩しました。あなたの顧客がメニューをスキャンし、今や彼らのデバイスフィンガープリントは漏洩データセットに生きています。

なぜユーザーは気づかないのか

現代のブラウザは自動的にリダイレクトをたどります。開発者ツールを開いていない限り、中間ホップは見えません。リダイレクトは速い(機能する間は)ので、スキャンは瞬時に感じます。ユーザー視点では、動的QRは静的QRと同じに振る舞います。

リダイレクトサーバーが失敗するまでは。そのとき体験は急激に分岐します — しかしその時点でQRコードはすでに千の表面に印刷されています。

セキュリティへの影響

リダイレクトサーバーは、それに依存するすべてのQRコードにとって単一障害点です。考慮する価値のある3つの攻撃面:

  • アカウント乗っ取り。 攻撃者がQRオーナーのプロバイダーアカウントにアクセスできれば、すべてのQRをフィッシングページにリダイレクトできます。顧客はレストランメニューを期待して物理コードをスキャンし、レストランのログインページのクローン(資格情報を収集する)に着地します。
  • プロバイダーの侵害。 QRプロバイダー自身が侵害されれば、流通中のすべての動的QRが攻撃者制御のコンテンツに再ポイント可能になる可能性があります。これは理論ではありません — 複数のQR-as-a-Serviceプロバイダーに侵害開示が存在します。
  • プロバイダーでのDNSまたはTLS障害。 リダイレクトドメインが解決しなくなる、あるいはTLS証明書が期限切れになると、依存するすべてのQRが失敗します。悪意のある行為者ではなく — QRオーナーが制御できない通常の運用リスクです。

静的QRコードにはこれらの故障モードがありません — スキャンと宛先の間に第三者サーバーがないからです。

リダイレクトをスキャンしているか確認する方法

たどる前に復号コンテンツを表示するスキャナーを使ってください — 私たちの Webスキャナー はそうします。QRをスキャンし、復号URLを確認してください。それが実際の宛先なら、QRは静的です。qrco.de/xyz のような知らない短ドメインなら — リダイレクトで、中間に第三者が座っています。

代替手段

宛先を直接符号化するQRコードを生成してください。第三者サーバーなし、リダイレクトログなし、サブスクなし。完全比較は 静的vs動的QRコード、仲介者モデルがなぜ業界を支配するかは QRコード詐欺の真実 にあります。

または単純に 静的QRコードを生成 して、心配をやめてください。

静的QRコードを作る準備はできましたか?

ブラウザ内で生成 — アカウント不要、追跡なし、サブスクなし。作ったものはあなたのものです。

ジェネレーターを開くURL QRコードWi-Fi QRコード

関連記事

QRコード詐欺の真実:「無料」ジェネレーターはどうユーザーから金を巻き上げるのか

動的QRコードは、印刷後にプロバイダーがコードを追跡、編集、無効化、収益化することを可能にします。その仕組みと回避方法を解説します。

静的QRコード vs 動的QRコード:すべてのユーザーが知るべきこと

一方はあなたのコンテンツを符号化し、他方はリダイレクトを符号化します。たった1つのこの違いが、あなたのQRが5年後に動くかどうかを決めます。

QRコードサブスクの罠:プロバイダーはどうあなたのリンクを人質に取るか

餌は無料のQRコード。針は、それが支払っている間だけ機能すること。罠はあなたが1万枚印刷した日に閉じます。

ジェネレーターが罠である5つの危険信号

後で賃料を請求するか、あなたのコードを無効化する動的優先ジェネレーターから、誠実なQRツールを分ける5つのシグナル。