"

DSQRコードとは

QRコードは、日常生活で広く使われる便利なツールですが、その一方で、不正利用が増えています[1]。その主な原因は、QRコード自体が改ざんされたメッセージを見分ける仕組みを持っていないことです。現在、多くの対策は「利用者が注意すること」に頼っている状況であり、セキュリティが強化されたQRコードの普及は進んでいません。 セキュリティ付きQRコードも存在しますが、多くの場合、その仕組みが分かってしまうと解析されてしまいます。この問題を解決するために、弊社は「仕組みが公表されても安全性が損なわれない」QRコードを開発しました。それが DSQRコード です[2]。
DSQRコードの特徴
1.**デジタル署名の埋め込み**
 DSQRコードにはデジタル署名が組み込まれており、高いセキュリティを実現しています。
2. **従来のQRコードとの互換性**
  一般的なスマホアプリでもDSQRコードを読み取ることが可能です。ただし、その場合、セキュリティの確認(コードの真偽判定)はできません。
要するに、DSQRコードは「安全性」と「使いやすさ」を両立した次世代のQRコードです。 [1]QRコード詐欺とは?手口や見分け方、対策方法を徹底解説 NTT docomo
[2] 先名健一,"個人認証機能を有するデジタル署名型QRコード",信学技報 117 (39), 61-66, 2017年5月, 電子情報通信学会

DSQRコードの生成

DSQRコードは、次のステップにより生成されます。
1.ベースとなるQRコードの生成
2.楕円曲線デジタル署名アルゴリズム(ECDSA)に用いる秘密鍵と公開鍵の生成
3.QRコードのハッシュ値と秘密鍵からECDSAデジタル署名値の算出
4.排他的論理和によりデジタル署名値のQRコードへの埋め込み

DSQRコードの検証

DSQRコードの検証は、次のステップにより実行されます。
1.PCまたはスマホに実装された検証アプリによりDSQRコードの読み取り
2.DSQRコードに埋め込まれているデジタル署名値の抽出
3.上記署名値と公開鍵によりDSQRコードのECDSA検証
4.検証結果が正しいとき、メッセージの表示と処理

DSQRコードの活用例

[例1] DSQRコードによるURLリンク
  QRコードは、URLにリンクするのに便利なツールですが、URLが書き換えられてしまうと正しいものかどうか区別できないという弱点があります。この弱点を利用した「フィッシング詐欺」が問題になっています。フィッシング詐欺では、QRコードを読み取った人が意図しない悪意のあるWebサイトに誘導されることがあります。
しかし、DSQRコードと専用のリーダーアプリを使えば、この問題を防ぐことができます。改ざんされたDSQRコードは読み取る段階で検出されるため、危険なWebサイトに誘導される心配がありません。これにより、フィッシング詐欺を未然に防ぐことが可能です。

[例2] DSQRコード付き電子入場券とマイナカードによる入場
  このシステムは、電子入場券の不正使用を防ぐために 「DSQRコード」 と 「マイナンバーカード(マイナカード)」 を活用します。以下はその仕組みを簡単に説明したものです:

**電子入場券の内容**
- 券面情報: 利用者の名前、イベント名、日時などを記載。
- DSQRコード: コードのメッセージは、券面の情報(利用者名など)と同じ。
入場券は、電子メール添付やWebサイトからダウンロードして受け取ります。

**入場時の確認手順**
1. 本人確認(マイナカードを使用)
- マイナカードを提示し、顔写真の目視確認またはPINコードの入力で本人であることを確認。
2. DSQRコードの確認
- DSQRコードを読み取り、内容(利用者名など)が券面情報と一致しているか、さらにコードが偽造されていないかを確認。

**不正防止の仕組み**
- なりすまし・チケットの複製を防止:マイナカードによる本人確認。
- チケットの偽造・改ざんを防止:DSQRコードの真正性チェック。
これにより、不正使用をほぼ完全に防ぐことが可能です!

電子入場券のサンプル


  
  
  

上の図は電子入場券のサンプルです。この入場券には以下の情報が記載されています:
1. イベント名
2. 利用者の名前
3. イベントの日時
4. DSQRコード
**DSQRコードについて:**
- このコードはスマートフォンでも読み取ることができます。

- 専用のリーダーアプリを使ってコードを読み取ると、認証結果が正しいとき次の内容が表示されます:
- **Authentication OK**
- **山田〇〇(利用者名)**
- **ABCD(イベント名などの識別情報)**
- **2024年4月5日(イベント日時)**
**注意事項:**
DSQRコードが正規のものであっても、入場券の券面に記載されている内容と、DSQRコードを読み取った際に表示される情報が一致しない場合、その入場券は偽物の可能性があります。


[例3] DSQRコードを用いた出欠管理
大学の出欠管理は、授業中の点呼や出席カードの確認だけでなく、学期や年間の出欠を集計する必要があり、教員にとって大きな負担になっています。最近ではICT(情報通信技術)を活用したシステムの導入が進んでいますが、現状には以下のような課題があります。
- **システム構築にかかる高コスト**
- **教員の実情に合わないシステム設計**
- **代理出席の問題**
その中で、大学で試験的に導入された「DSQRコードを利用した出席登録・管理システム」を紹介します。このシステムは以下の特長を持っています:
1. シンプルな機能設計: 使いやすく直感的。
2. 高いセキュリティ: 不正利用を防止。
3. 低コスト: 予算を抑えて導入可能。
4. 柔軟性: さまざまな講義スタイルに対応。
このシステムは、効率的かつ現実的に教員の負担を軽減し、出欠管理の課題を解決する新しい方法です。

  
  
  
図は上から順に、出席管理システムの概略、ノートPCに接続された2個のwebカメラ、及び出席登録完了(PCブラウザの表示)を表しています。

この出席管理システムは、以下のように動作します。
1. **学生の出席登録方法**
 学生は、自分専用のDSQRコード(学生QRコード)を、PCに接続されたwebカメラ(CP-01)にかざします。このwebカメラは撮影に特化した汎用のカメラです。
2. **出席の確認と登録**
- PCは、かざされたDSQRコードが正規のものであるかを自動で確認します。
- 正規のコードであれば、出席が登録されます。登録が成功すると、PCのブラウザ画面に出席完了の表示が出ます。
- 出席データは、PC上で自動的にExcelファイルに記録されます。
- **全員(90名)の出席登録は約5分**で完了します。
3. **教員の作業**
 教員は、出席登録が終了した後、PCに保存されたExcel形式の出席データを「出席管理サーバ」にアップロードします。
4. **学生の利用**
 学生は、出席管理サーバにログインして、以下の情報を確認できます:
- 自分の出席状況
- レポート提出状況
- テスト結果
このシステムにより、出席登録が効率的に行われ、学生も自分の状況を簡単に確認できるようになっています。
なお、このシステムは、安全にパスワードが格納できるDSQRコード(弊社開発 パスワードQR(pDSQRコード))を利用しています。 学生は出席管理サーバにログインするときに、自分のDSQRコードとパスワードをサーバにアップロードします。DSQRコードとパスワードが真であるときログインは成功します(QR Login)。
このシステムでは、サーバー側で学生のパスワードを一切保存しません。そのため、以下のようなメリットがあります:
1. **パスワード管理が不要**
- サーバー側でパスワードを保持する手間がなくなります。
2. **パスワード漏洩のリスクがゼロ**
- サーバーにパスワードが保存されていないので、万が一サーバーが攻撃されても、パスワードが流出する心配がありません。
簡単に言えば、より安全でシンプルな仕組みになっています。