バーコードを読み取るだけでシステムがハッキングされるかも

    バーコードを読み取るだけでシステムがハッキングされるかも

    そういえば盲点だった。

    11月12日に東京で開催されたセキュリティカンファレンス「PacSec Applied Security Conference」で、意外なものを使ったハッキングの可能性が指摘されました。

    それはバーコード。小売りや他のさまざまなサービスに使われていますが、悪意のあるコードを仕込んだバーコードをスキャンしてしまうと、システムにマルウェアが侵入したり、最悪の場合、乗っ取られる可能性があるんです。

    バーコードはIoTの元祖ともいうべきテクノロジーですが、今時の人から見ればローテクです。ハッキングに気をつけるものといえば、パソコンやスマホ、最近では自動車やIoT家電だったので、セキュリティ研究者たちも見逃してきました。

    ですが、最も普及しているバーコード「CODE128」は、キーボードで打てる半角の数字、アルファベット(大文字、小文字)、記号といったアスキーコード128文字すべてを変換できます。ということは、コンピューターを操作するコマンドや、悪意のあるプログラムコードをバーコード化することだってできるんです。

    実際にどんなことが起きるんでしょうか?

    発表したYang Yu氏(Xuanwu Lab)によるデモンストレーションがこちらです。

    コマンドを埋め込んであるバーコードを読み取った端末が勝手に操作されていますね。

    Yang Yu氏はさらにKindleをもちいてハッキングの効率化を図っています。次々とバーコードを表示できるので、より自動化した攻撃ができるようになるんですね。怖い怖い。

    しかも厄介なことに、バーコードスキャナーは新しいセキュリティパッチをインストールする仕様にはなっていません。それに、スキャンしたコードは自動的にホストコンピューターに転送されてしまいます。予防策としては、ホストコンピューター側を操作して、怪しげなコードを無効化するようにプログラムするしかなさそうです。

    Image by rangizzz / shutterstock

    source: Threat post

    (高橋ミレイ)

      あわせて読みたい

      powered by