プロジェクトオーガナイザの吉田聖書です。
10月30日に、学習院大学が公式サイトにお知らせを掲載しまして、大学案内に掲載されている2次元バーコード(QRコード)から不正なリンク先に転送されていると注意喚起しました。
【重要】「大学案内2024」掲載二次元コードの不正リンクについて(2023/10/30 学習院大学)
※ QRコードは株式会社デンソーウェーブの商標です。
お知らせは短いものですので全文引用します。
本学発行の「大学案内2024(2023年5月より配布)」p.113に掲載の「受験生応援サイトintro!」の二次元コード(QRコード)が、現在不正なリンク先に転送されていることが判明しました。
ここに「現在」という言葉が書かれていますので、おそらく発行当初は正しいリンク先が開くことが確認されていたのだろうと思われます。なので、そもそもQRコードが間違っていたということはなさそうです。
となると、可能性としては2つあって、リンク先のWebサイト(ここでは受験生応援サイト)がサイバー攻撃によって不適切なサイトにリダイレクトされるように改竄されたか、あるいは、コード化されたURLがいわゆる「短縮URL」で、該当するURLからのジャンプ先が事故あるいは故意によって差し替えられたかだと考えられます。
ちなみに前者の「不適切なサイトにリダイレクトされるような改竄」はまさにこのブログでも一度やられたことがありまして、その時は知り合いからのタレコミというか情報提供によって発覚したんですけれども、その時は本当に焦りましたし必死で復旧しました。しかもその直前に私の知り合いの会社も同じような被害に遭っていましたので、流行みたいなのがあるのかもしれません。
ただですね、今回の場合、「大学案内2024に掲載の二次元コードは使用せず、正しいURLを直接入力するなどによりアクセス」するように案内されていますし、実際私もアクセスしてみましたけれども正しく表示されましたので、前者の可能性は消えました。となると、短縮URLの遷移先が差し替えられた可能性が高いということになります。
私も今回知ったんですが、短縮URLは知らない間に多くのサービスが登場していて、海のものとも山のものともあつかないものもあるようです。中には最初からそういった差し替えによって悪意のあるWebサイトに誘導することを目的として提供されているものもあるかもしれません。私が一時期短縮URLを使っていた時はbit.lyを利用していました。bit.lyは割と大手だと思うんですけれども、画面の説明が英語で書かれているので敬遠する人もいるのかもしれません。
※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。
昨年の1月にQRコードのセキュリティに関するニュースをお伝えしました。この時は短縮URLは関係なく、街中に掲示されているQRコードの上に、悪意のあるWebサイトへリンクするQRコードのシールを貼ってしまうという、ある意味物理的なサイバー攻撃(あえて矛盾したような表現を使いますが)に対する注意喚起でした。
そもそも短縮URLは、長いURLを手打ちするのが大変だから文字数を少なくしようという発想なので、手入力を前提とするサービスです。QRコードで読み取らせるのであれば短縮する必要もないと思うんですよね。短縮URLを使わなければ転送する処理を挟まない分、スムーズにアクセスできると思います。短縮URLを使うのであれば、何のために短縮URLを使うのかを考えて使うということが大切です。これは短縮URLに限った話ではないですね。
ただ、不思議なのが、一般的な短縮URLサービスであれば、自分のアカウントで管理サイトにログインして、発行済みの短縮URLと転送先を編集すれば済む話だと思うんですが、今回はわざわざQRコードの読み取りを抑止しているという点です。もしかすると管理サイトでの設定に関係なく勝手に転送されてしまうような仕掛けになっているのかもしれませんね。
関連記事
プロマネの右腕
プロジェクトマネジメントの支援を行っています。
新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html
YouTubeにて動画配信中!
プロジェクトマネジメントのノウハウをYouTubeで配信しています。
ブログと併せてご活用ください。