先月、実家の母から「届いたハガキのQRコードを読み取ったら変なページが出てきた」と電話がありました。宅配便の不在通知を装ったハガキで、QRコードの先は個人情報の入力画面。幸い母は途中で違和感に気づいてブラウザを閉じていましたが、もし住所やクレジットカード番号を入力していたらと思うとぞっとします。
このように、紙やシールに印刷されたQRコードで偽サイトに誘導する手口は「クイッシング」と呼ばれています。QRコード+フィッシング(偽サイトで個人情報を盗む詐欺)を掛け合わせた造語です。警察庁によると、QRコード詐欺の報告件数は2024年に前年比約3.6倍に急増し、2025年も増加傾向が続いています。
焦らなくて大丈夫です。読み取る前に偽物かどうかを見分けるコツと、万が一開いてしまったときの対処法を、ひとつずつ確認していきましょう。
QRコードは「読み取るまで中身がわからない」のが怖い
メールやSMSのフィッシング詐欺なら、リンクのURLを見て怪しいかどうかの手がかりがあります。でもQRコードは白黒のモザイク模様だけ。人間の目では、どこに飛ばされるか判断できません。
ここが攻撃者にとって都合のいいポイントです。
米Palo Alto Networksのセキュリティ研究チーム「Unit 42」が2025年に公開した調査レポートによると、インターネット上で1日に検出されるQRコードのうち約15%にあたる1万1,000件以上が、詐欺サイトへの誘導だったと報告されています。フリーランス仲間とのZoom飲み会でも「旅行先の駐車場でQRコードを読んだら見慣れない画面に飛ばされた」という話が出て、その場にいた4人全員がぞっとしました。本物のQRコードの上に偽のシールが貼られていた可能性が高いとのこと。見た目では判別がつきません。
2025〜2026年に国内で報告されている手口
クイッシングの手口は大きく3つのパターンに分かれます。
駐車場やシェアサイクルの精算機に偽シールを上貼り
2025年9月、東京都内(渋谷区・新宿区・港区)のコインパーキング約15か所で被害が発生しました。精算機に貼られた正規のQRコードの上に、同じサイズ・同じデザインの偽シールが重ね貼りされていて、約80名がクレジットカード情報を盗まれています。
誘導先のドメインは本物と1文字だけ違う巧妙なものでした。たとえば「times-park.jp」と「times-park1.jp」のように、急いでいると見落としてしまう差です。2025年11月には関西圏(大阪府・兵庫県・京都府)の月極駐車場約30か所でも同様の手口が確認されており、48名が被害に遭っています。
ハガキやチラシに印刷された偽QRコード
うちの母が引っかかりかけたのがこのパターンです。宅配便の不在通知や公共料金の督促状を装ったハガキにQRコードが印刷されていて、読み取るとクレジットカード情報やログイン情報の入力画面に飛ばされます。
紙のハガキにQRコードが載っているだけで「公式っぽい」と感じてしまうのが人間の心理です。でも覚えておいてください。正規の企業がハガキにQRコードを載せてログインを求めることはほぼありません。
メールやSMSに埋め込まれたQRコード画像
フィッシングメールの本文にURLの代わりにQRコード画像を埋め込む手口もあります。メールのセキュリティフィルターはURLのリンクをスキャンして危険かどうかを判定しますが、画像の中に埋め込まれたQRコードは検知をすり抜けやすい。Keepnet Labsの調査(2026年2月更新)によると、QRコードを使ったフィッシング攻撃は全フィッシングの12%を占めるまでに拡大しており、2021年の0.8%から急激に増えています。
iPhoneの標準カメラで「タップ前にURLを確認」する
ここが記事の核心です。iPhoneの標準カメラアプリには、QRコードを読み取ったときにURLをプレビュー表示してくれる機能があります。タップする前に、飛び先が安全かどうか目視で確認できるのです。
手順はかんたんです。
- カメラアプリを開く
- QRコードにかざす(シャッターボタンは押さなくてOK)
- 画面上部に黄色い通知バナーで「"○○" を Safari で開く」と表示される
- ここでURLを確認する
見覚えのないドメインや、1文字違いの紛らわしいURLが表示されたら、タップしないでそのままカメラを閉じてください。
もし通知バナーが表示されない場合は、「設定」→「カメラ」→「QRコードをスキャン」がオンになっているか確認してみてください。Appleの公式サポートページにも手順が載っています。
Androidの場合も、Googleレンズやカメラアプリで同様にURLプレビューが表示されます。ただしメーカーによって挙動が違うことがあるため、手元の端末で一度試しておくと安心です。
街中のQRコードを読む前にチェックしたいポイント
駐車場や飲食店のQRコードを読む前に、以下のポイントを確認すると偽物を見分けやすくなります。
シールの段差やはがれ:正規のQRコードの上にシールが上貼りされていないか、指で触って段差がないか確認してみてください。偽シールは上から貼り付けているので、ほんの少しだけ厚みがあることが多いです。
周囲のQRコードとの比較:同じ駐車場の他の精算機にもQRコードがあれば、デザインや印刷の質感を見比べてみてください。1台だけシールの色味が違っていたら、偽物の可能性があります。
URLのドメイン確認:読み取り後にプレビューされるURLが公式サイトのドメインと一致しているか。1文字違い(「l」と「1」、「o」と「0」の入れ替えなど)は詐欺サイトの常套手段です。
HTTPSの鍵マークだけで安心しない:偽サイトでもHTTPS証明書は取得できます。鍵マークがあるから安全、とは限りません。
迷ったときは、QRコードを使わず公式アプリやWebサイトに直接アクセスするのがいちばん確実です。駐車場なら精算機の現金・カード支払いを選ぶ、飲食店ならレジで支払う。ひと手間増えますが、それだけで被害は防げます。
読み取ってしまった場合の対処
もしQRコードで怪しいサイトを開いてしまっても、落ち着いてください。
個人情報を入力していない場合は、ブラウザを閉じるだけで基本的に問題ありません。サイトを開いただけでスマホが乗っ取られることは、通常のブラウザ利用ではまずないです。
クレジットカード情報やパスワードを入力してしまった場合は、すぐに動いてください。
- カード会社に連絡して利用停止を依頼する(カード裏面の電話番号へ)
- 該当サービスのパスワードを別の端末から変更する
- 同じパスワードを使い回しているサービスがあれば、そちらも変更する
- 警察相談窓口(#9110)や消費者ホットライン(188)に相談する
母には「ハガキやメールのQRコードからログインを求められたら、まず家族に相談して」というルールを伝えました。仕組みの説明を長々とするよりも「まず相談」のワンアクションだけ覚えてもらったほうが、実際の被害を防ぎやすい。母は2回目のハガキが届いたとき、自分で「これ怪しいやつでしょ?」と電話をくれたので、ルールが効いているようです。
FAQ
QRコードを読み取っただけでウイルスに感染する?
通常のブラウザ利用でQRコードからサイトを開いただけなら、ウイルスに感染する可能性はきわめて低いです。ただし表示されたサイトでアプリのインストールを求められた場合は、絶対にインストールしないでください。iPhoneはApp Store以外からのアプリインストールが標準設定ではできないため、その点は安心です。
QRコード読み取り専用のセキュリティアプリは必要?
iPhone・Androidとも標準カメラでURLプレビューが表示されるため、専用アプリは必須ではありません。ただしウイルスバスター モバイルなどのセキュリティアプリには、QRコード読み取り時にURLの安全性をチェックする機能が付いているものもあります。URLの真偽を自分で判断するのが不安な方は導入を検討してみてください。
飲食店のテーブルに貼ってあるモバイルオーダー用QRコードも偽物の可能性がある?
可能性はゼロではありません。2025年以降、飲食店のテーブルに貼られたモバイルオーダー用QRコードに偽シールを上貼りされた事例が海外で報告されています。読み取り後のURLが店名と一致しているかを確認するか、迷ったらレジで注文・支払いをしてください。
ハガキに載っているQRコードが本物かどうか確認する方法は?
ハガキのQRコードは読み取らないのがいちばん安全です。差出人として書かれている企業名をGoogleやSafariで直接検索し、公式サイトにアクセスしてください。宅配便の不在通知なら、各社の公式アプリや再配達受付サイトから追跡番号で確認できます。
参考文献
- Phishing on the Edge of the Web and Mobile Using QR Codes — Palo Alto Networks Unit 42, 2025
- QR Phishing Statistics: Quishing Trends (Updated February 2026) — Keepnet Labs, 2026
- 2026年度 ゴールデンウイークにおける情報セキュリティに関する注意喚起 — IPA 独立行政法人情報処理推進機構, 2026
- Scan a QR code with your iPhone or iPad — Apple Support
- クイッシング (QR コード詐欺) とは何か。どんな仕組みで動き、どのように防ぐのか — McAfee Blog





