ウェブリンク
ポスターや駐車メーター、レストランのテーブルにあるQRコードです。すべてのリダイレクトを追跡し、短縮サービスの所有者(Bitly、Linktree、TinyURL、独自ブランドなど)を特定し、紛らわしいドメインや既知のフィッシングサイトにフラグを立てます。QRコード印刷後にリンク先が変更される可能性がある場合は、その旨を表示します。これがステッカー貼り替え詐欺の仕組みです。
対応範囲
あらゆる種類のQRコードを識別
QRコードはウェブリンク、Wi-Fiパスワード、支払い、連絡先カード、搭乗券、ワクチン記録、運転免許証、スマートホームペアリングコード、その他多数のものを伝えることができます。多くの安全スキャナーはウェブリンクしか確認しません。私たちはすべてを識別・確認し、平易な言葉で説明します。
数字で見る
読み込み中…
確認する内容
あらゆる種類のQRコードに対して、何であるか、何が含まれているか、対応しても安全かを伝えます。その過程でお客様の個人情報が流出することはありません。
Wi-Fiネットワーク
ホテルやカフェが提供するQRコードです。ネットワーク名、セキュリティタイプ、パスワードを表示し、偽の「Starbucks WiFi」や「Airport Free WiFi」などの模倣ネットワークにフラグを立てます。
店舗決済
レストランの会計QR、市場のQR、駐車メーターのQRです。支払い前に加盟店名、都市、国、金額、通貨を表示し、想定通りの相手に支払っているか確認できます。PIX(ブラジル)、UPI(インド)、PromptPay(タイ)、PayNow(シンガポール)、Bizum(スペイン)、Swish(スウェーデン)など54カ国に対応しています。
暗号通貨決済
Bitcoin、Ethereum、Solana、Lightning Network、Cashu、その他に対応しています。アドレスを検証し、金額をデコードし、QRコードがシンプルな送金ではなくスマートコントラクト関数の呼び出しを要求している場合(ドレイナー詐欺の始まりであることが多い)には警告を表示します。
連絡先カード
名刺の「連絡先を保存」QRコードです。名前、電話番号、メール、組織、住所、SNSプロフィール、誕生日、メモが構造化されたカードとして表示され、ワンタップでスマートフォンに追加できます。有名ブランドに似た名前はフラグが立てられます。
カレンダー招待
ウェブサイト、カンファレンスバッジ、チケットのイベントQRコードです。タイトル、開始・終了時刻、繰り返し設定(週次、月次)、場所、主催者、参加者がデコードされ、「承諾」をタップする前にカレンダーに追加される内容を確認できます。
電話 / テキスト / メール
タップで発信、SMS送信、メール作成ができるQRコードです。有料番号(分単位で課金される種類)、詐欺に使われる国際ショートコード、機密情報を騙し取ろうとする差し込み済みのメール件名にフラグを立てます。
二要素認証コード(otpauth)
銀行、Google、または職場のアプリが認証アプリのセットアップ時に表示するQRです。発行者とアカウントをデコードして、登録内容を確認できるようにします。また、誰かが自分のすべてのGoogle Authenticatorバンドル(すべての2FAコードを含む1つのQR)を共有しようとした場合は、強く警告します。
パスキーサインイン
ラップトップが表示する、スマートフォンでパスキーサインインを完了するよう求めるQRです。自分でサインインを開始していない場合は強く警告します。見知らぬ人のQRをスキャンすると、あなたのアカウントにその人がサインインされます。WhatsApp Web、Telegram、Microsoft 365、Google、GitHub、AWS、Steam、Discord、Slack、Apple IDでの同様の手口も検出します。
デジタルID / 運転免許証
バーや店舗がスキャンするUS/カナダ運転免許証の裏面バーコード、および各州DMVとEUデジタルIDウォレットのモバイル運転免許証に対応しています。発行者、証明書の種類、含まれる属性を表示しますが、氏名、住所、生年月日は意図的にデコードしません。
医療記録
SMART Health Cards(ワクチン接種記録、処方箋、検査結果)およびEUデジタルCOVID証明書に対応しています。証明書の種類と発行者を識別しますが、患者名、生年月日、医療の詳細は意図的にデコードしません。それらはウォレットアプリで確認してください。
搭乗券
航空搭乗券のQRコードです。フライト番号、ルート、日時、座席、搭乗順序をデコードして確認できます。名前と予約番号(PNR)があれば誰でも予約にアクセスできるため、PNRはデフォルトでマスクされます。搭乗券の写真を公開しないでください。
スマートホームペアリング
Matter / Apple HomeKitのペアリングQRコードで、スマートホームデバイスを追加する際にスキャンします。ベンダー、製品、設定パスコード、接続しようとするネットワークタイプをデコードし、シール貼り替えによってコントロールできないネットワークにデバイスが密かに登録されることを防ぎます。
eSIMアクティベーション
電話プランをインストールするためにスキャンするQRコードです。通信先のキャリアサーバー、アクティベーションコード、確認コードの要否を表示します。インストールされたeSIMはSMSを傍受できること、つまりテキスト受信の2FAコードも含まれることを強く警告します。
VPNプロファイル
WireGuard設定QRコードです。サーバーアドレス、許可IP、DNSを表示し、すべてのトラフィックを他人のサーバー経由でルーティングするフルトンネル設定にフラグを立てます。QR内の秘密鍵はデフォルトでマスクされます。
製品 / 配送コード
包装済み商品のGS1デジタルリンクQRコードで、2027年までに従来のバーコードを置き換える形式です。製品コード(GTIN)、バッチ/ロット番号、有効期限、シリアル番号をデコードし、製品の真正性を一目で確認できます。
スイスQR請求書
スイスの請求書に記載されたQRコードです。IBAN、受取人名と住所、金額、通貨、参照番号をデコードし、銀行アプリで支払い相手を完全に把握した上で開くことができます。
危険な形式
スキャンから実行すべきでないQRフォーマットがあります。javascript:、実行可能ファイルURI、JavaScriptエンコードされたデータブロブがその例です。これらをハードブロックし、その理由をお知らせします。アクションボタンは設計上、無効化されています。
ベアラートークン(Cashu、LNURL)
CashuのEキャッシュトークンは文字通りお金そのものであり、QRを写真に撮った人なら誰でも使用できます。これを明確に警告します。LNURLエンドポイント(Lightningサインイン、出金、支払い)はデコードされるため、タップする前にウォレットの接続先を確認できます。
プレーンテキスト
認識されたプロトコルプレフィックスのないプレーンテキストを含むQRコードも、埋め込みURL、流出した秘密情報(APIキー、JWT、SSHキー)、下流のAIアシスタントを標的にしたプロンプトインジェクションパターン、危険なリンクを偽装するユニコード文字の確認を行います。
他のスキャナーはリンクを確認します。私たちはQRコードを確認します。
一般的なURLスキャナーが言うこと
「qr.abundera.ai/r/abc → walmart.com、安全 ✓」
今この瞬間は正しいです。しかし駐車メーターのQRステッカーは最初に短縮サービスを経由します。アカウント所有者はいつでも目的地を変更できます。今日クリーンなQRを印刷し、翌日フィッシングページに目的地を切り替えると、同じ物理ステッカーのすべてのスキャンがフィッシングに誘導されます。URLスキャナーはそれが可能だとは教えてくれませんでした。
私たちが言うこと
「短縮サービスを経由しています。アカウント所有者は印刷後に目的地を変更できます。現在はwalmart.com(安全)に誘導しています。」
1つの判定で2つの回答。今:これは現時点で安全か? 後で:明日、誰がこれを変更できるか? 印刷後に取り消せない印刷面上のQRでは、どちらも重要です。
私たちが見ないもの
資格情報やIDドキュメントについては、スキャンしたQRの種類を識別しますが、内部の個人情報は意図的にデコードしません。
2FA秘密鍵
認証アプリのエクスポートや設定コードをスキャンすると識別し、間違った場所でのスキャンを警告しますが、実際の秘密シードはサーバーではデコードされません。認証アプリに送られるのであって、私たちには送られません。
医療記録
ワクチン記録と健康証明書:発行者(どの政府/医療機関)と記録の種類を表示します。お客様の名前、生年月日、病歴は資格情報の中に留まり、スキャナーを通じてエコーバックされることはありません。
搭乗券の詳細
フライト情報を表示してチケットを確認できますが、予約番号はタップで表示できるようにマスクされているため、評決のスクリーンショットが予約へのアクセス手段にはなりません。
VPN / SSH秘密鍵
QR形式のWireGuardおよびSSH秘密鍵は、マスクされたフィールドとして表示され、あなたのデバイス上でタップして表示できます。第三者に送信されることはありません。
次に追加予定
追跡している新興のQR形式です。標準が安定次第、順次追加していきます。
EUデジタルIDウォレット
EUの越境デジタルIDウォレット(eIDAS 2.0)が2024年〜2026年にかけてロールアウトされます。密接に関連したモバイル運転免許証形式はすでにデコードできます。EUウォレットのバリアントは加盟国のロールアウトが安定した後に追加されます。
デジタル製品パスポート
EU規制により2027年までにすべての消費者製品にデジタルパスポート(持続可能性、原産地、修理情報)が義務付けられます。形式はすでにGS1デジタルリンクURLで、現在デコード対応済みです。製造業者がデータを公開するにつれて詳細な製品サーフェスが充実していきます。
Bluetoothメッシュペアリング
Bluetooth SIGがメッシュネットワークデバイスコミッショニング用のQR形式を標準化しています(現在のペアリングQRはベンダー固有)。仕様が発表されたら対応を追加します。
16種類のシンボル体系をカメラからデコード
QRコード、Aztec(モバイル搭乗券)、PDF417(米国運転免許証)、Data Matrix(製薬・小売)、Code 128/39/93、Codabar、EAN-13/8(食料品)、UPC-A/E(米国小売)、ITF(段ボール)、MaxiCode(UPS配送ラベル)、GS1 DataBar+DataBar Expanded(農産物、クーポン)。カメラをこれらのいずれかに向けると、QRコードと同様にペイロードをデコードして分類します。
まだデコードできない形式
ユーザーが遭遇する可能性のあるすべてのバーコード形式を追跡しています。これらは注目しているものの、現在のブラウザJavaScriptでは到達できません。本番対応のデコーダーが存在しない、標準が研究段階のみ、または形式が廃止されているためです。実現可能な方法(ブラウザライブラリ、ネイティブアプリ、サーバーサイドデコード)が開けばすぐにサポートを追加します。
漢信コード
中国の国家規格2Dシンボル(GB/T 21049-2007)。工業物流や政府文書に使用されます。現在、本番環境で動作するJavaScriptデコーダーは存在せず、zxing-cppに試験的なサポートがあります。ネイティブのAbundera QR Checkアプリ(予定)を追加する際に対応します。
JABコード
ドイツBSIが偽造防止包装用に標準化したカラー2Dバーコードです。参考実装は研究用CコードのみでJavaScriptポートは存在しません。メンテナンスされたポートの登場を待っています。
ドットコード
タバコおよび製薬セクターで使用される高速産業印刷形式です。品質の高いフィクスチャを使っても信頼性の高いJavaScriptデコーダーは現在存在しません。ネイティブアプリスタックの対象として注目しています。
郵便コード
PostNet、PLANET、インテリジェントメール(USPS)、RM4SCC(Royal Mail)、KIX(オランダ)、オーストラリアポスト4ステートなどです。メンテナンスされたJavaScriptライブラリが存在しないほどニッチです。顧客のユースケースが出てきたらネイティブアプリまたはサーバーサイドデコーダーを評価します。
Microsoft Tag / HCCB
Microsoftは2015年にこのカラーバーコード形式とそのスキャナーSDKを廃止しました。サポート不可。古いマーケティング印刷物を持っている方が知れるよう、完全性のために記載しています。
Snowflake / Ultracode / NextCode
産業向けニッチな2D形式です。本番JavaScriptデコーダーはありません。実地での出現率が低すぎるため、顧客から具体的な要望があった場合のみ投資を検討します。