QRコード詐欺とは？スマホでできるフィッシング対策とURL確認のコツ

QRコードは、飲食店のメニュー、決済、イベント受付、チラシ、荷物確認など、日常のさまざまな場面で使われるようになりました。スマホのカメラを向けるだけでWebサイトを開けるため、とても便利です。

一方で、QRコードを悪用して偽サイトへ誘導する「QRコード詐欺」や「クイッシング」と呼ばれる手口にも注意が必要です。クイッシングは、QRコードとフィッシングを組み合わせた言葉で、QRコードから偽サイトへ誘導し、ID・パスワードやクレジットカード情報などを盗もうとする手口です。

QRコードは見た目だけではリンク先が分かりません。この記事では、QRコード詐欺の仕組み、よくある手口、スマホでできる対策、URL確認のコツを解説します。

QRコード詐欺・クイッシングとは

QRコード詐欺とは、QRコードを使って偽サイトや不正なページへ誘導するフィッシング詐欺の一種です。

たとえば、銀行、クレジットカード会社、決済サービス、配送業者、ECサイトなどを装ったページに誘導され、ログイン情報やカード情報の入力を求められるケースがあります。見た目が本物に似ていても、URLのドメインが公式サイトと違う場合があります。

IPAも、QRコードを悪用したフィッシング詐欺を「クイッシング」として紹介しており、QRコードから偽サイトに誘導され、ID・パスワードやクレジットカード情報を詐取される可能性があると説明しています。

重要なのは、QRコードそのものが危険なのではなく、QRコードの先にあるURLやWebサイトが危険な場合があるという点です。QRコードは便利ですが、「読み取った後にどこへ移動するのか」を確認する習慣が大切です。

QRコード詐欺が厄介な理由

QRコード詐欺が厄介なのは、読み取る前にリンク先を判断しづらいことです。通常のURLであれば、文字列を見て「公式サイトと違う」「ドメインが怪しい」と気づけることがあります。しかしQRコードは、画像として表示されるため、見た目だけではリンク先が分かりません。

また、QRコードはメールやPDF、チラシ、ポスターなどに画像として埋め込まれます。メール本文に直接URLを書かず、QRコードとして表示することで、リンク検査をすり抜けようとする手口もあります。IPAも、QRコードは画像であるため、メール内URLを検査するフィルタリング機能をすり抜ける可能性があると説明しています。

さらに、物理的な場所に貼られたQRコードが差し替えられる可能性もあります。駐車場、飲食店、公共スペース、イベント会場などで、正規のQRコードの上から偽のQRコードシールが貼られるケースも考えられます。スマホで気軽に読み取れるからこそ、ひと手間の確認が重要です。

よくあるQRコード詐欺の手口

QRコード詐欺には、いくつかのパターンがあります。

まず注意したいのは、駐車場や店舗、イベント会場などに貼られたQRコードです。支払いページや案内ページを装い、偽の決済サイトへ誘導される可能性があります。特に、QRコードがシールで上貼りされている場合や、周囲の掲示物と雰囲気が違う場合は注意が必要です。

次に、宅配業者やECサイトを装った手口です。「荷物の確認」「再配達手続き」「注文内容の確認」などを口実にQRコードを読み取らせ、偽サイトへ誘導するケースがあります。そこから住所、電話番号、ログイン情報、カード情報などの入力を求められることがあります。

また、メールやPDFにQRコードを掲載し、スマホで読み取らせる手口もあります。PCで受け取ったメールをスマホで読み取らせることで、会社や学校のセキュリティ対策を回避しようとするケースもあります。QRコードを読み取った先でログインや決済を求められた場合は、一度立ち止まることが大切です。

怪しいQRコードを見分けるチェックポイント

QRコードを読み取ったら、まずURLを確認しましょう。特に銀行、クレジットカード、決済サービス、ECサイト、配送業者などを名乗るページでは、公式サイトのドメインと一致しているかを見ることが重要です。

たとえば、公式サイトに見えても、ドメインの一部が不自然だったり、余計な単語が入っていたり、見慣れないサブドメインになっていたりする場合があります。短縮URLも、実際のリンク先が分かりづらいため注意が必要です。

また、読み取り後すぐに個人情報、ID・パスワード、クレジットカード情報の入力を求められる場合は慎重に判断しましょう。FTCも、QRコードの先が本物そっくりの偽サイトである可能性や、入力した情報が盗まれる可能性について注意喚起しています。

物理的なQRコードの場合は、シールで上から貼られていないか、掲示物に違和感がないかも確認しましょう。不安がある場合は、その場で店舗や管理者に確認するのが安全です。

スマホでできるフィッシング対策

スマホでできる基本対策は、「QRコードを読み取ったらすぐ開かない」ことです。標準カメラでもURLが表示されることはありますが、勢いでタップしてしまうと、そのままブラウザで開いてしまいます。

銀行、決済サービス、ECサイト、配送業者などの重要なサービスは、QRコードやメール内リンクからではなく、公式アプリやブックマークからアクセスする方が安全です。特にログインや決済を求められた場合は、読み取ったURLをそのまま信用せず、公式ルートから入り直すことをおすすめします。

また、スマホのOSやブラウザを最新の状態に保つことも大切です。古いOSやアプリを使い続けると、既知の脆弱性を悪用されるリスクが高まります。

QRコードは便利な仕組みですが、リンク先を確認する習慣がないと、偽サイトに誘導されても気づきにくい場合があります。URLを見てから開く、必要ならコピーして確認する、怪しい場合は開かない。この基本動作を意識するだけでもリスクを下げられます。

「あんしんQRコードチェッカー」でURLを確認してから開く

QRコードを読み取ったあと、すぐにURLを開くのではなく、一度リンク先を確認したい場合は、QRGuardも選択肢のひとつです。

あんしんQRコードチェッカーは、QRコードを読み取ったあとにURLを表示し、開く前に確認できるアプリです。読み取ったURLをコピーしたり、履歴から見返したりすることもできます。QRコードを読み取るたびに、ワンクッション置いてURLを見る習慣を作りたい場合に役立ちます。

ただし、あんしんQRコードチェッカーはすべての危険URLを自動判定するセキュリティソフトではありません。最終的には、ユーザー自身がURLやページ内容を確認する必要があります。

QRコードは便利ですが、リンク先が見えにくいという特徴があります。読み取ったらすぐ開くのではなく、まずURLを確認する。このひと手間が、スマホでできる基本的なフィッシング対策になります。