実家の母から「届いたハガキのQRコードを読み取ったら、変なページが出てきた」と電話がありました。聞いてみると、宅配便の不在通知を装ったハガキで、QRコードの先は個人情報の入力画面。幸い、母は途中で「なんか変」と気づいて閉じてくれたのですが、もう少しで入力するところだったそうです。

最近、こうしたQRコードを使ったフィッシング詐欺が急増しています。「クイッシング」と呼ばれるこの手口、メールのリンクと違って読み取るまでURLが見えないのがやっかいなところです。

焦らなくて大丈夫です。読み取る前にURLを確認する方法はちゃんとあります。iPhoneでもAndroidでも使えるので、家族にも共有してみてください。

「クイッシング」って何が起きるの?

クイッシング(Quishing)は「QRコード」と「フィッシング(Phishing=偽サイトで情報を盗む手口)」を合わせた造語です。ざっくり言うと、偽のQRコードを読み取らせて、本物そっくりのサイトに誘導し、IDやパスワード、クレジットカード情報などを盗む詐欺のことです。

どれくらい増えているのか。セキュリティ企業Keepnetの調査によると、2025年にはフィッシング攻撃全体の約12%にQRコードが使われていました。2021年は0.8%だったので、4年で15倍です。Palo Alto Networks Unit 42も、1日あたり平均11,000件以上の悪意あるQRコードを検出していると報告しています(2025年時点)。

なぜこれほど増えたのか。理由はシンプルで、QRコードは読み取るまで中身が見えません。メールに貼られたリンクなら「このURL怪しいぞ」と気づけますが、白黒の四角い模様からは何もわからない。しかもスマホのカメラで直接読み取るため、パソコンのセキュリティソフトやメールフィルターをすり抜けてしまいます。

実際に報告されている手口

フィッシング対策協議会は2024年8月、QRコードを使ったフィッシングについて注意喚起を出しました。日本スマートフォンセキュリティ協会(JSSEC)も2025年2月にガイドを公開しています。

メールに「QRコードからログインしてください」

銀行やECサイトを装ったメールにQRコードが添付されているパターンです。「セキュリティ確認のためログインしてください」と書かれていますが、読み取った先は偽のログインページ。IDとパスワードを入力すると、そのまま盗まれます。覚えておいてほしいのは、正規の企業がメールにQRコードを貼ってログインを求めることはほぼないということです。

飲食店や駐車場のQRコードに「上貼り」シール

本物のQRコードの上に、偽のシールを重ね貼りする手口です。メニューの注文、駐車場の料金精算、シェアサイクルの利用案内など、街中のQRコードが狙われています。フリーランス仲間とZoomしていたとき、旅行先の駐車場でQRコード決済をしようとしたら見慣れない画面に飛ばされた、という話が出ました。全員ぞっとしたのを覚えています。

「○○ペイで返金します」とSMS送付

「払い戻しがあるのでQRコードを読み取ってください」とSMSやLINEで送りつけてくる手口です。国民生活センターにはこの「返金詐欺」型の相談が急増しており、2024年4月時点で累計400件を超えたとトレンドマイクロが報告しています。

読み取る前にURLを確認する手順

QRコードは「読み取るまでURLが見えない」のが怖いところですが、実はタップする前に確認できます。

iPhoneの場合

  1. 標準の「カメラ」アプリを開く
  2. QRコードにカメラを向ける(ボタンは押さなくてOK)
  3. 画面上部に黄色い吹き出しでURLが表示される
  4. ドメイン名(例:amazon.co.jp の部分)が正しいか目で確認する
  5. 問題なければ吹き出しをタップしてページを開く

URLが表示された段階ではまだページは開いていません。「変だな」と思ったら、カメラを閉じるだけで大丈夫です。

Androidの場合

  1. 標準の「カメラ」アプリでQRコードを映す
  2. 画面下部にURLのプレビューが表示される
  3. ドメインが正規のものか確認してからタップする

もし違う画面が出る場合は、機種やメーカーによって表示が異なることがあります。「設定」から「カメラ」を開いて、「QRコードをスキャン」がオンになっているか確認してみてください。Googleレンズ経由で読み取った場合も、同じようにURL確認が可能です。

URLのどこを見ればいいの?

確認するのは「ドメイン名」、つまりURLの最初のスラッシュ(/)より前の部分です。

  • 正規: https://amazon.co.jp/dp/... → 安全
  • 偽物: https://arnazon-login.xyz/... → 「m」が「rn」に化けている
  • 偽物: https://amazon.co.jp.fake-site.com/... → 本物のドメインっぽいが接続先は fake-site.com

見分けるコツは、ドメインの「一番右のドット」の直前を見ることです。3番目の例だと、一番右のドットの前は「com」、その左が「fake-site」。amazon.co.jpは途中に含まれているだけで、実際の接続先はfake-site.comになります。ここは少しむずかしいので、迷ったらURLをタップせず、公式アプリや自分のブックマークからアクセスする、を鉄則にしてください。

読み取ってしまったときの対処

落ち着いて確認してみてください。ページを開いただけなら、被害は出ていない可能性が高いです。

何も入力していない場合:ブラウザのタブを閉じれば対処完了です。それだけで問題ありません。

IDやパスワードを入力してしまった場合:そのサービスの公式アプリかブックマークから正規サイトにアクセスして、すぐにパスワードを変更してください。二段階認証(ログイン時にSMSや認証アプリで追加確認する仕組み)を未設定なら、あわせて有効にしておくと安心です。

クレジットカード情報を入力してしまった場合:カード裏面に記載されている連絡先に電話して、利用停止を依頼してください。

アプリのインストールを促された場合:インストールしていなければ問題ありません。もしインストールしてしまった場合は、すぐにアプリを削除し、スマホを再起動してください。

被害にあった場合や不安が残る場合は、最寄りの警察署か警察庁のサイバー犯罪相談窓口に相談できます。

FAQ

iPhoneの標準カメラで読み取れば安全ですか?

標準カメラはURLをプレビュー表示してくれるので、タップ前に確認できる点では安全性が高いです。ただし、URLを確認せずにそのままタップすれば偽サイトに飛ぶことがあるため、ドメイン名の目視チェックは欠かせません。

QRコードを読み取っただけでウイルスに感染しますか?

QRコード自体はURLやテキストを格納しているだけなので、読み取っただけで感染することはありません。危険なのは、読み取った先のサイトで情報を入力したり、不審なアプリをインストールしたりした場合です。

街中のQRコードが本物か偽物か見分ける方法はありますか?

目視だけで100%見分けるのは正直むずかしいです。シールが上から貼られていないか、QRコード周囲に不自然な段差や跡がないかを確認するのが一つの手がかりになります。迷ったら、QRコードを使わずに公式アプリやWebサイトに直接アクセスするのが確実です。

家族や高齢の親にまず伝えるべきことは何ですか?

「メールやハガキに印刷されたQRコードからログインを求められたら、まず家族に相談して」の一言です。正規の企業がQRコード経由でログインを求めるケースはほぼありません。筆者も母にはこのルールだけ覚えてもらっています。

参考文献