QRコード“読み取り”で位置情報送信の危険性? 一部アプリで物議、サービス提供社は当該機能を停止に
特定の環境・アプリでQRコードを読み取ると、ユーザーの位置情報がコード作成者に送られる仕組みとなっていました。
アララが提供する、デンソーウェーブ公式の(※)QRコードリーダーアプリ「公式QRコードリーダー“Q”」に、特定の環境でコードを読み取ると、ユーザーの位置情報がコード作成者に送信される機能があることが分かり物議を醸しています。デンソーウェーブに問い合わせたところ、提供元のアララとしては、指摘を受けて現在は位置情報の提供を終了しているとのことでした。
※QRコードは1994年にデンソーが開発し、現在はデンソーウェーブが特許を保有
位置情報が送信されるのは、同じくアララが提供しているサイト「QRコードメーカー」で作成された“アクセス解析機能付き”のQRコード(※1)を、「公式QRコードリーダー“Q”」で読み取った場合(※2)。もちろん、初回起動時には位置情報の取得について同意が求められ、これに同意しなければ位置情報が相手に伝わることはありません。しかし、アプリ上では十分な説明がなされておらず、ネット上では「犯罪に使われたら怖い」「個人情報保護法に抵触するのでは」など批判の声が相次ぎました。
※1:アクセス解析方式には「シークレット」と「リダイレクト」の2種類があり、このうち「シークレット」を選択していた場合に位置情報が送信されていた
※2:“アクセス解析機能付き”のQRコードであっても、「公式QRコードリーダー“Q”」以外のリーダーアプリで読み取った場合は位置情報は送信されない
この機能の詳細について、デンソーウェーブ広報に問い合わせたところ、次のような回答がありました。
―― 特定の環境で、位置情報がコード作成者に送信されていたのは事実でしょうか。
デンソーウェーブ:事実です。ただ、個人や端末を特定できる情報ではなかったと認識しています。
―― 位置情報の送信はどのような場合に行われていたのでしょうか。
デンソーウェーブ:全てのQRコードで位置情報が送信されていたわけではなく、「QRコードメーカー」で「アクセス解析」を有効にし、なおかつ「シークレット方式」でコードを作成した場合のみ、読み取った端末のGPS情報がQRコード作成者に分かる仕組みになっていました。
―― アプリ使用者に十分な説明はしていましたか。
デンソーウェーブ:アプリ起動時に「位置情報を取得します」という通知は行われており、これに対しユーザーが許可した場合のみ、位置情報が取得されていました。アプリの利用規約やFAQ、アプリストアの概要などでも一部記載しています。ただ、一部記載内容が不十分だったところもあり、現在はアララ側で修正対応中です。
―― 記載の修正以外に、何か対応される予定はありますか。
デンソーウェーブ:「QRコードメーカー」側でも、8月27日からGPS情報の提供をいったん終了しています。
GPS情報提供の終了については「QRコードメーカー」のサイト上でも告知されており、27日時点でGPS情報(緯度経度情報)の提供を終了、翌28日にはアクセスログのCSVダウンロードサービスも終了に。これにより、少なくとも現在は、コード作成者が利用者のGPS情報を知ることはできなくなっているようです。なお、機能の提供再開については「今のところ未定です」とのことでした。
(沓澤真二)
関連記事
仕組みが分かれば、スマホなどいらぬ……ッ! 肉眼のみで解読するQRコード講座
必要なのは目という名のカメラ。それから、気合いと根性。SNSにアップした月の写真から、撮影場所が割り出される可能性はある?
1月末の皆既月食で撮影した人は多いはずですが……。個人情報もパスワードも盗まれる「フィッシング詐欺」 身を守る8つの心得
偽のメールだけでなく、偽の通販サイトも危ない。「やだ……Googleって便利すぎて怖くない?」 PCど素人の女子高生、Google先生の圧倒的支配力にとまどう
「人生乗っ取られそうで不安だわ」「情報セキュリティ10大脅威」、2017年は「ビジネスメール詐欺」「セキュリティ人材の不足」など新たな問題が
標的型攻撃やランサムウェアが、前年に引き続き上位に。不審な客が訪ねてきたら絶対ドアを開けずに! 不意の訪問者に応対し怖い目に遭った体験漫画が迫真の注意喚起に
昼か夜か、住居がアパートか戸建てか、家主が男か女かに関係なく、「悪いことをする人はそのつもりで来る」。Appleをかたるフィッシングメールにご用心 リンクを踏むとなぜかAmazonの偽サイトに飛ぶ
「アマゾンアカウントで何ができるか的を絞ってください」「なぜこのメールを受け取ったのだろうか?」など、意味不明の文言が。最新スマホが100円で手に入ると虚偽 日本郵便をかたった「当選詐欺サイト」にトレンドマイクロ注意呼び掛け
日本郵便の正式ロゴを掲げているけど……。Facebookの個人データ不正流用問題、ザッカーバーグCEOがコメント
対応策などを発表しました。ITパスポート試験で団体申込者の個人情報漏えい システムの不具合により
申込者に謝罪し、不具合を修正したとIPAは報告。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.