読み取るまで遷移先が見えないQRコード詐欺クイッシング

クイッシング(quishing)は、QRコードに不正なURLを仕込み、読み取った人を偽サイトへ誘導するフィッシングの一種です。名称はQRコードとフィッシング(phishing)を組み合わせた造語で、メールやSMSのリンクの代わりにQRコードが入口になる点が特徴です。誘導先の偽サイトでIDやパスワード、クレジットカード番号を入力させて盗む狙いは、従来のフィッシングと変わりません。

この手口が問題になる背景には、QRコード決済やメニューの電子化が広がり、日常的にQRコードを読み取る習慣が定着したことがあります。IPAの「情報セキュリティ10大脅威 2026」でも、個人向けの脅威として「フィッシングによる個人情報等の詐取」が引き続き挙げられています。QRコードはその新しい入口の一つであり、本記事では一般利用者と組織の双方に向けて、仕組みと見分け方、対処を整理します。

QRコードは読み取るまで遷移先のURLが見えない#

クイッシングが従来のフィッシングより気づきにくいのは、QRコードという入口の性質によります。メールやSMSに書かれたテキストのリンクであれば、利用者はクリックする前にリンク先のドメインを目で確認でき、正規のドメインとの食い違いや不自然な誤字に気づける場合があります。一方でQRコードは白黒の点が並んだ画像であり、その中に符号化されたURLは、読み取って展開するまで人間には判読できません。つまり遷移先を事前に確認する手がかりが、読み取りの操作より後にしか現れない構造になっています。

この性質は、利用者の警戒心が働く順序を変えてしまいます。テキストリンクでは「リンク先を見て、怪しければやめる」という判断が読み取り前に入りますが、QRコードでは読み取ってブラウザが開いた後でしか同じ判断ができません。フォーティネットの解説も、正規のQRコードに偽物を重ねるなどの手口を挙げ、利用者が事前にリンク先を確かめにくい点が悪用されると説明しています。

読み取りを補助するアプリの挙動も、判断を遅らせる一因になります。スマートフォンのカメラやQRコード読み取りアプリの多くは、コードを認識すると展開したURLを開く動線を示しますが、短縮URLが使われていると展開後のドメインがすぐには分からない場合があります。攻撃者はこうした表示の隙を利用し、利用者が中身を確かめないまま遷移先へ進むよう仕向けます。

ここで正確に押さえておきたいのは、読み取った時点で被害が確定するわけではないという点です。多くのクイッシングは、読み取った先の偽サイトで利用者が認証情報やカード番号を入力したり、案内に従って送金したりして初めて成立します。したがって読み取りそのものより、表示されたページで情報を入力する前に立ち止まれるかどうかが分かれ目になります。ただし、読み取った先で不正なアプリの導入や危険な権限の付与を促される場合もあるため、読み取れば常に安全だという意味ではありません。

攻撃者が偽のQRコードを読み取らせる典型的な手口#

攻撃者は、利用者がQRコードを疑わずに読み取る場面を選んで偽コードを差し込みます。代表的な一つが、正規のQRコードの上に偽のステッカーを重ね貼りする手口です。攻撃者は店頭の決済用コードや、屋外の支払い案内に貼られた正規コードの上から偽コードのシールを貼り、利用者を偽の決済サイトへ誘導します。米国ではパーキングメーターに不正なQRコードのステッカーが貼られ、偽の支払いサイトへ誘導した事例が報告されており、FTCの注意喚起も、QRコードを覆うように貼られたステッカーに注意するよう促しています。

もう一つの典型が、信頼されやすい連絡や荷物を装ってQRコードを送り込む手口です。攻撃者は宅配の不在通知や請求書、本人確認の案内などを名乗り、メールやSMS、紙の通知にQRコードを載せて偽サイトへ誘導します。フィッシング対策協議会は2024年8月に、メール内のQRコードからフィッシングサイトへ誘導する手口が報告されているとして注意喚起を出しました。

さらに新しい変種として、注文していない小包にQRコードを同梱して送りつける手口があります。攻撃者は受取人に身に覚えのない荷物を送り、同封したメモで「送り主を確認するため」「返送方法を知るため」にQRコードを読み取るよう促します。FTCとFBIはこれを、ネット通販の評価を不正に操作する「ブラッシング詐欺」の変種と位置づけ、読み取った先で個人情報や金融情報を入力させたり、マルウェアを導入させたりしようとすると説明しています。いずれの手口も、利用者が普段QRコードを読み取る文脈を装うことで警戒をくぐり抜ける点が共通しています。

読み取ってしまった後の見分け方と対処#

読み取った後でも、情報を入力する前であれば被害を避けられる場合が少なくありません。判断の起点になるのは、ブラウザに表示されたURLのドメインです。読み取った直後にアドレスバーのドメイン部分を確認し、利用しているサービスの正規ドメインと一致しているかを見ます。正規の名称に似せた綴りや、無関係な文字列が並ぶドメイン、見慣れない短縮URLが展開された場合は、その時点で入力を控えるのが安全です。

確認の精度を上げるには、QRコードから開いたページで認証情報やカード番号を入力せず、いったんページを閉じてから、公式アプリや自分のブックマーク、検索で確認した正規サイトへ手入力でアクセスし直す方法が有効です。フィッシング対策協議会も、サービスへアクセスする際は普段使っている公式アプリやブラウザーのブックマークからアクセスするよう呼びかけています。同じ情報の入力でも、入口を信頼できる経路に置き換えることで、偽サイトを避けられます。

すでに偽サイトへ情報を入力してしまった場合は、被害を広げない初動に切り替えます。入力したIDとパスワードは、別の安全な端末から速やかに変更し、同じパスワードを使い回している他のサービスも変更します。クレジットカード番号を入力した場合はカード会社へ連絡し、利用停止や再発行、不正利用の確認を依頼します。可能なものから多要素認証を有効にしておくと、認証情報が盗まれた後の不正ログインを抑えやすくなります。

個人と組織でできる対策#

個人の利用者がまず徹底したいのは、QRコードを読み取った後に必ずドメインを確認し、不審なページでは情報を入力しないという習慣です。あわせて、店頭や屋外で支払い用のQRコードを読み取るときは、正規コードの上にシールが重ね貼りされていないかを現物で確かめます。身に覚えのない小包や、不在通知や請求書を装うメールやSMSに載ったQRコードは読み取らず、配送業者や利用先の公式アプリや正規サイトから自分で状況を確認します。FTCとFBIも、注文していない荷物に付いたQRコードは読み取らないよう促しています。

組織側は、利用者教育と運用の両面で備えます。教育では、QRコードは読み取るまで遷移先が見えないこと、偽ステッカーの重ね貼りや偽の宅配通知という具体的な手口、読み取った後にドメインを確認して公式経路から入力し直すという対処を、フィッシング全般の対策とあわせて周知します。基本となるフィッシング対策の考え方は別記事でも整理しています(

)。

運用面では、メールやSMSで届くQRコードを安易に読み取らせない方針を共有し、業務で使うQRコードは掲示場所と正規コードの状態を定期的に点検します。窓口や店頭に決済用のQRコードを掲示している場合は、巡回時にステッカーの重ね貼りがないかを確認し、利用者から決済先の表示が普段と違うという申告があれば点検につなげる流れを決めておくと、貼り替えに早く気づけます。社外向けの案内でQRコードを使う際に、誘導先のドメインを文面にも明記しておくと、受け手が遷移先を照合しやすくなります。

クイッシングは利用者の操作を起点にする社会工学の一種であり、利用者自身に操作させて防御をすり抜けようとする手口は他にもあります。偽の認証画面でコマンドを実行させるClickFix(

)や、人の心理を突く攻撃全般への備え(

あわせて読みたい

ソーシャルエンジニアリングの手口と対策。なりすまし・プリテキスティング・テールゲーティングを原理から理解する

)とあわせて理解しておくと、対策の見通しが立てやすくなります。

本記事の脅威動向はIPA「情報セキュリティ10大脅威 2026」、国内の手口と確認の呼びかけはフィッシング対策協議会の2024年8月28日の注意喚起、偽ステッカーや偽の小包を装う手口と対処はFTCの2023年12月と2025年1月の消費者向け注意喚起およびFBI/IC3の2025年7月31日の注意喚起、用語と手口の整理はフォーティネットの解説にもとづきます。確認できない数値や固有名は記載していません。

クイッシングの厄介さは、遷移先を事前に確認できないというQRコードの性質にあります。だからこそ、読み取った後に表示されたURLのドメインを確かめ、不審なら情報を入力せず公式経路から入り直すという一点が、個人にとって最も確実な歯止めになります。組織はこの判断を教育と運用で裏打ちし、利用者が情報を入力する直前に立ち止まれる状態をつくることが、被害を防ぐ近道になります。