そういえば盲点だった。

11月12日に東京で開催されたセキュリティカンファレンス｢PacSec Applied Security Conference｣で、意外なものを使ったハッキングの可能性が指摘されました。

それはバーコード。小売りや他のさまざまなサービスに使われていますが、悪意のあるコードを仕込んだバーコードをスキャンしてしまうと、システムにマルウェアが侵入したり、最悪の場合、乗っ取られる可能性があるんです。

バーコードはIoTの元祖ともいうべきテクノロジーですが、今時の人から見ればローテクです。ハッキングに気をつけるものといえば、パソコンやスマホ、最近では自動車やIoT家電だったので、セキュリティ研究者たちも見逃してきました。

ですが、最も普及しているバーコード｢CODE128｣は、キーボードで打てる半角の数字、アルファベット（大文字、小文字）、記号といったアスキーコード128文字すべてを変換できます。ということは、コンピューターを操作するコマンドや、悪意のあるプログラムコードをバーコード化することだってできるんです。

実際にどんなことが起きるんでしょうか？

発表したYang Yu氏（Xuanwu Lab）によるデモンストレーションがこちらです。

One of the demos of our talk "BadBarcode: How to hack a starship with a piece of paper". See you in PacSec 2015. pic.twitter.com/tu8XZjegHP — Yang Yu (@tombkeeper) 2015, 11月 9

コマンドを埋め込んであるバーコードを読み取った端末が勝手に操作されていますね。

Just another BadBarcode demo, using kindle to make an automatic attack. Seems cooler than turning a dozen paper:-). pic.twitter.com/0vIIQ98EeU — Yang Yu (@tombkeeper) 2015, 11月 12

Yang Yu氏はさらにKindleをもちいてハッキングの効率化を図っています。次々とバーコードを表示できるので、より自動化した攻撃ができるようになるんですね。怖い怖い。

しかも厄介なことに、バーコードスキャナーは新しいセキュリティパッチをインストールする仕様にはなっていません。それに、スキャンしたコードは自動的にホストコンピューターに転送されてしまいます。予防策としては、ホストコンピューター側を操作して、怪しげなコードを無効化するようにプログラムするしかなさそうです。

Image by rangizzz / shutterstock

source: Threat post

（高橋ミレイ）