スマートフォンでQRコードを読み取ることが当たり前になった今、QRコードを悪用した詐欺が急増しています。「QRコードなら安心」と思っている方も多いかもしれませんが、実はそれが落とし穴です。
コンビニ・駐車場・飲食店・イベント会場など、私たちの身近な場所に罠が仕掛けられています。一度読み取るだけで、個人情報が盗まれたり、知らぬ間に金銭被害を受けたりするケースが国内外で報告されています。
この記事では、QRコード詐欺の代表的な手口から、被害に遭わないための対策、万が一被害に遭ってしまった場合の対処法まで、わかりやすく解説します。
QRコード詐欺とは
QRコード詐欺(クイッシング:Quishing)とは、悪意ある第三者が偽のQRコードを用意し、被害者を不正なWebサイトへ誘導したり、マルウェアをインストールさせたりする詐欺手法です。
「QR」と「フィッシング(Phishing)」を組み合わせた「クイッシング(Quishing)」とも呼ばれ、近年サイバーセキュリティの世界で急速に注目されています。
従来のフィッシングメール対策として「URLを直接クリックしない」という意識が広まった結果、攻撃者がQRコードという新たな手段に切り替えたとも言われています。セキュリティソフトがURLをスキャンしにくいQRコードは、攻撃者にとって都合の良い抜け道になっています。
最新のQRコード詐欺の手口
駐車場の偽QRコード
コインパーキングや商業施設の駐車場で、料金精算に使うQRコードの上から偽のQRコードシールが貼り付けられる手口です。
利用者は本物だと思って読み取り、偽の決済サイトにクレジットカード情報を入力してしまいます。実際にアメリカやイギリスではこの手口による被害が多数報告されており、日本でも類似の被害が確認されています。
狙われやすい場所:無人の駐車場精算機、QRコード決済のみ対応の施設
飲食店のメニューQRコード
テーブルに設置されたQRコードメニューに、偽のQRコードシールが上から貼られるケースです。読み取ると偽サイトに誘導され、クレジットカード情報や個人情報の入力を求められます。
また、「アンケートに答えると割引クーポンがもらえる」などの文句で個人情報を詐取するパターンもあります。
フィッシングメール・SMS内のQRコード
「荷物が届けられませんでした」「口座が停止されます」などの緊急を装ったメールやSMSに、QRコードが記載されているケースです。
URLであれば多くのメールセキュリティソフトが検知できますが、画像として埋め込まれたQRコードはスキャンをすり抜けやすく、フィルタリングを回避するために使われています。
イベント・公共施設での偽QRシール貼り付け
美術館・博物館の展示物説明パネル、電車・バスの時刻表、公共機関の掲示物など、人が自然にQRコードを読み取る場所にシールを貼って誘導する手口です。
公的機関を装ったサイトに誘導し、「個人情報の確認」「マイナンバーの再登録」などを騙る事例も報告されています。
SNS・チラシ・ポスターの偽QRコード
X(旧Twitter)やInstagramの投稿、街中のチラシやポスターに印刷されたQRコードが悪用されるケースです。「無料プレゼント」「限定クーポン」「公式サイト」などと偽り、偽サイトへ誘導します。
充電スタンドの偽QRコード
空港・ホテルなどの充電スタンドに貼られたQRコードから、マルウェア(悪意あるソフトウェア)をダウンロードさせる手口です。デバイスへのアクセス権限を乗っ取り、個人情報や金融情報を盗むことが目的です。
QRコード詐欺の被害事例
国内の主な被害
- 2024年、駐車場の精算QRコードに偽シールが貼られ、クレジットカード情報が盗まれる被害が複数の都市で発生
- 飲食チェーンのテーブルQRメニューに偽コードが貼られ、顧客の個人情報が流出したとされる事例
- 宅配業者を装ったSMSにQRコードが貼られ、偽サイトへ誘導されてフィッシング詐欺の被害に遭った事例
海外の主な被害
- アメリカのFBI(連邦捜査局)が2022年に公式警告を発出。駐車場のQRコードを中心とした被害が急増
- イギリスでも同様の駐車場詐欺が多発し、警察が注意を呼びかけ
- ヨーロッパでは2024年以降、メール経由のクイッシングが企業を標的にした攻撃として急増
QRコード詐欺に遭わないための対策
読み取る前にQRコードを目視確認する
QRコードの上に別のシールが貼られていないか、印刷物に不自然な貼り付けがないかを確認する習慣をつけましょう。特に駐車場や飲食店などの公共スペースでは念入りに確認することが重要です。
読み取り後のURLを必ず確認する
QRコードを読み取った直後、スマートフォンに表示されるURLを開く前に確認しましょう。
注意すべきURL例:
- 公式サイトと似て非なるドメイン(例:liacsy.com → liacsy-co.com)
- http://(暗号化なし)で始まるURL
- 意味不明な文字列が含まれるURL
- 国内企業なのに見慣れない国のドメイン(.xyz、.ru など)
URLが不審な場合は即座にブラウザを閉じてください。
個人情報・クレジットカード情報は絶対に入力しない
QRコードから誘導されたサイトで、以下の情報を求められた場合は詐欺の可能性が高いです。
- クレジットカード番号・有効期限・CVV番号
- 銀行口座番号・暗証番号
- マイナンバー・パスポート番号
- パスワード・認証コード
公共のQRコードを経由してこれらの情報を入力することは原則避けましょう。
公式アプリを経由して確認する
宅配業者・金融機関・公的機関からの通知を確認する際は、QRコード経由ではなく、公式アプリや公式サイトに直接アクセスして確認することを徹底しましょう。
セキュリティソフトを活用する
スマートフォンにセキュリティソフトを導入することで、不正なURLへのアクセスをブロックしたり、怪しいサイトへの誘導を警告してくれたりします。
主なスマートフォン向けセキュリティアプリ:
- Norton Mobile Security
- McAfee Mobile Security
- Lookout セキュリティ
QRコード読み取りアプリの設定を見直す
一部のQRコードリーダーアプリは、読み取った瞬間に自動でブラウザを開く設定になっています。URLを確認してからアクセスできるアプリを選ぶか、設定を変更しておくと安心です。
もしQRコード詐欺の被害に遭ったら
すぐにすべき対応
- クレジットカードや銀行口座を停止する:カード会社・銀行に即座に連絡し、利用停止・被害申告を行いましょう。
- パスワードを変更する:同じパスワードを使い回している場合、すべてのサービスのパスワードを変更します。
- 端末をオフラインにする:マルウェアがインストールされた可能性がある場合、Wi-FiやモバイルデータをOFFにして拡散を防ぎます。
- 端末をセキュリティソフトでスキャンする:マルウェアの有無を確認します。
被害を届ける窓口
| 窓口 | 連絡先 |
|---|---|
| 警察(サイバー犯罪相談窓口) | 都道府県警察のサイバー犯罪相談窓口、または #9110 |
| 消費者ホットライン | 188(いやや) |
| 国民生活センター | https://www.kokusen.go.jp/ |
| IPA(情報処理推進機構) | https://www.ipa.go.jp/security/anshin/ |
まとめ
QRコード詐欺の手口と対策をまとめると以下のとおりです。
最新の主な手口
- 駐車場・飲食店への偽QRシール貼り付け
- フィッシングメール・SMS内のQRコード
- 公共施設・掲示物への偽コード設置
- SNS・チラシを使った誘導
被害に遭わないための基本対策
- QRコードの上にシールが貼られていないか目視確認する
- 読み取り後のURLを開く前に確認する
- 個人情報・クレジットカード情報は入力しない
- 公式アプリ・公式サイトで直接確認する
- スマートフォンにセキュリティソフトを導入する
QRコードは便利なツールである一方、視覚的に内容を確認できないという弱点があります。「読み取る前に一秒確認する」習慣を身につけるだけで、多くの被害を防ぐことができます。
少しの疑問が、あなたの大切な情報を守ることにつながります。
Views: 176
