バーコードを読み取るだけでシステムがハッキングされるかも

2015.11.19 18:00
  • このエントリーをはてなブックマークに追加

151117barcode-flaw.jpg


そういえば盲点だった。

11月12日に東京で開催されたセキュリティカンファレンス「PacSec Applied Security Conference」で、意外なものを使ったハッキングの可能性が指摘されました。

それはバーコード。小売りや他のさまざまなサービスに使われていますが、悪意のあるコードを仕込んだバーコードをスキャンしてしまうと、システムにマルウェアが侵入したり、最悪の場合、乗っ取られる可能性があるんです。

バーコードはIoTの元祖ともいうべきテクノロジーですが、今時の人から見ればローテクです。ハッキングに気をつけるものといえば、パソコンやスマホ、最近では自動車やIoT家電だったので、セキュリティ研究者たちも見逃してきました。

ですが、最も普及しているバーコード「CODE128」は、キーボードで打てる半角の数字、アルファベット(大文字、小文字)、記号といったアスキーコード128文字すべてを変換できます。ということは、コンピューターを操作するコマンドや、悪意のあるプログラムコードをバーコード化することだってできるんです。

実際にどんなことが起きるんでしょうか?
発表したYang Yu氏(Xuanwu Lab)によるデモンストレーションがこちらです。



コマンドを埋め込んであるバーコードを読み取った端末が勝手に操作されていますね。



Yang Yu氏はさらにKindleをもちいてハッキングの効率化を図っています。次々とバーコードを表示できるので、より自動化した攻撃ができるようになるんですね。怖い怖い。

しかも厄介なことに、バーコードスキャナーは新しいセキュリティパッチをインストールする仕様にはなっていません。それに、スキャンしたコードは自動的にホストコンピューターに転送されてしまいます。予防策としては、ホストコンピューター側を操作して、怪しげなコードを無効化するようにプログラムするしかなさそうです。


Image by rangizzz / shutterstock
source: Threat post

(高橋ミレイ)

  • このエントリーをはてなブックマークに追加
  • バーコード作成2 DL版 [ダウンロード]
  • デネット
  • ビジコム バーコードリーダー 二アレンジCCD USB 白 BC-BR900L-W
  • BUSICOM
特別企画

家事で空気は汚れる? 「Dyson Pure Cool Link」でチェックしてみた

Sponsored by Dyson 風が強くて気持ちいい扇風機と、微細なアレルゲンも取り除いてくれる空気清浄機。2in1なダイソン・エアマルチプライアーシリーズ最新モデルが、さらなる進化を遂げました...
続きを読む»

・関連メディア