QRコード詐欺(クイッシング)に要注意 — 偽QRコードの見分け方と対策
QRコードをスキャンするだけで個人情報が盗まれる時代。クイッシング(Quishing)詐欺の手口と、偽QRコードの見分け方、安全なスキャン方法を解説します。
QRコード詐欺(クイッシング)— スキャン1回で個人情報が盗まれる新型詐欺
レストランでメニューを見るためにQRコードをスキャンする。駐車場の精算でQRコードを読み取る。宅配の不在通知にあるQRコードを確認する。日常のありふれた行動ですが、そのQRコードが偽物だったら?
2025-2026年にかけて、QRコードを利用したフィッシング攻撃は月間270%増加しており、フィッシング攻撃全体の12%にQRコードが含まれています。もはやQRコードも疑うべき時代です。
クイッシング(Quishing)とは?
クイッシング = QR + フィッシング(Phishing)
従来のフィッシングがメールやLINEで偽のリンクを送るのに対し、クイッシングは偽のQRコードを使って悪意のあるWebサイトに誘導する手口です。QRコードは人間の目では内容を読み取れないため、テキストリンクよりも危険性が高いのです。
日本で起きている実際のクイッシング詐欺
1. 駐車場・シェアサイクルの偽QRコード
正規のQRコードの上に偽のステッカーを貼り付け
→ スキャンすると偽の決済ページへ
→ クレジットカード情報を入力すると即座に盗まれる
コインパーキングの精算機やシェアサイクルの貸出機に貼られたQRコードの上に、偽のステッカーを重ねる手口が増加しています。
2. 宅配業者を装った偽QRコード
「お届け日時の変更はこちらのQRコードから」
→ 偽の宅配業者サイト
→ ID・パスワード入力でアカウント乗っ取り
LINEやSMSで届く偽の不在通知にQRコードが添付されるケースが急増しています。ヤマト運輸や佐川急便を装った詐欺メッセージにご注意ください。
3. レストラン・カフェの偽メニューQRコード
テーブルに設置されたメニュー用QRコードの上に偽のコードを貼り付け、個人情報入力ページに誘導する手口です。モバイルオーダーや事前決済が必要な店舗で特に被害が出ています。
4. メール内の悪意あるQRコード
「セキュリティ認証が必要です — 以下のQRコードをスキャンしてください」
→ 偽のログインページ
→ 会社の認証情報を窃取
FBIは北朝鮮のハッカーグループが悪意のあるQRコードを使った攻撃を行っていると警告しました。さらにAI・LLM技術を活用して、より巧妙なフィッシングメールが作成されています。
偽QRコードを見分ける5つのポイント
| # | チェックポイント | 確認方法 |
|---|---|---|
| 1 | ステッカーが重ね貼りされていないか | 表面を触って確認。ステッカーが浮いていたら要注意 |
| 2 | URLが想定するドメインと一致するか | スキャン後に表示されるURLが公式ドメインか確認 |
| 3 | 即座に個人情報・決済を求めていないか | スキャン直後にカード情報やパスワードを要求されたら詐欺 |
| 4 | HTTPSになっているか | URLがhttp://で始まる場合、セキュリティが確保されていない |
| 5 | 短縮URLでリダイレクトされていないか | 複数回リダイレクトされて最終URLが不明な場合は危険 |
QRコードを安全にスキャンする方法
Step 1: スマホ標準のカメラアプリを使用
iPhoneやAndroidの標準カメラでQRコードをかざすと、URLがプレビュー表示されます。自動でリンクを開くサードパーティアプリは避けましょう。
Step 2: URLを確認してから開く
表示されたURLが想定通りか確認します。yamato-transport.co.jpであるべきところがyam4to-delivery.comなら絶対に開かないでください。
Step 3: QRコードから開いたページで決済しない
QRコードから遷移したページで直接クレジットカード情報を入力しないでください。公式アプリや公式サイトに直接アクセスして決済しましょう。
Step 4: URL検査機能付きのQRスキャナーを活用
セキュリティ機能が組み込まれたQRスキャナーアプリを使えば、既知の悪意あるURLを事前にブロックできます。
Step 5: 物理的に確認する
公共の場のQRコードは、ステッカーが重ね貼りされていないか手で触って確認しましょう。浮いていたり、ずれていたりすれば偽物の可能性大です。
安全なQRコード vs 危険なQRコード
安全な使用例
- Wi-Fi共有: カフェやホテルがWi-Fiパスワードを提供するQRコード
- 公式メニュー: 店舗の注文システムと連携した正規のメニューQRコード
- 信頼できる決済: 公式アプリ内で生成された決済QRコード
- LOCK.PUBのリンク共有: パスワード保護された信頼ドメイン
lock.pubのQRコード
危険な使用例
- 身に覚えのないメールに含まれるQRコード
- 公共の場に誰かが勝手に貼ったステッカー
- 出所不明のチラシや名刺のQRコード
- LINEやSMSで届く差出人不明のQRコード
怪しいQRコードをスキャンしてしまったら
慌てず、以下の手順で対処してください:
- ブラウザをすぐに閉じる — 情報を入力していなければ被害は防げます
- 認証情報を入力した場合、すぐにパスワードを変更
- カード情報を入力した場合、カード会社に連絡して利用停止
- 不明なアプリがインストールされていないか確認し、見覚えのないものは削除
- 警察のサイバー犯罪相談窓口(#9110) や消費者ホットライン(188)に相談
LOCK.PUBはQRコードをどう安全に使うのか
LOCK.PUBで作成したリンクはQRコードとして共有できます。一般的なQRコードとの違いは:
- パスワード保護: QRコードをスキャンしてもパスワードがなければ内容にアクセスできない
- 信頼できるドメイン: 常に
lock.pubドメインに接続 — 確認が容易 - 有効期限: 設定した期間が過ぎると自動的に無効化
- アクセス追跡: いつ誰がアクセスしたか確認可能
QRコード自体が危険なのではなく、出所不明のQRコードが危険なのです。信頼できる提供元のQRコードだけをスキャンし、必ずURLを事前に確認する習慣をつけましょう。
まとめ
QRコードは便利ですが、その便利さを悪用する犯罪者が増えています。たった1回のスキャンでカード情報が盗まれ、アカウントが乗っ取られる可能性があります。
QRコードをスキャンする前に、3秒だけ立ち止まって確認してください。 その3秒があなたの個人情報と財産を守ります。