偽 QR コードに騙されないための 5 つの防衛術
偽 QR コードはどこに潜んでいるのか
QR コードを使った詐欺 (クイッシング) は、2023 年以降急増しています。手口は単純で、本物の QR コードの上に偽のステッカーを貼り付けるだけです。駐車場の料金精算機、レストランのテーブル、公共施設の案内板、郵便受けに届くチラシ。これらの場所に貼られた偽 QR コードをスキャンすると、本物そっくりのフィッシングサイトに誘導され、クレジットカード情報やログイン情報を盗まれます。
FBI は 2022 年に公式警告を発し、「QR コードをスキャンする前に、物理的に改ざんされていないか確認すること」と呼びかけました。イギリスでは駐車場の料金精算機に偽 QR コードが貼られる事件が多発し、数百人が被害に遭いました。日本でも 2024 年以降、自治体の広報物に偽 QR コードが貼られる事例が報告されています。
防衛術 1: スキャン後の URL を必ず確認する
最も基本的で最も効果的な防衛策は、QR コードをスキャンした後に表示される URL を確認することです。iPhone も Android も、QR コードをスキャンするとブラウザが開く前に URL がプレビュー表示されます。このプレビューを必ず確認してください。
チェックポイントは 3 つです。まず、ドメイン名が正しいか。paypal.com ではなく paypa1.com (l が 1 に置き換わっている) のような偽ドメインに注意してください。次に、HTTPS で始まっているか。HTTP のみのサイトは信頼性が低いです。最後に、URL が不自然に長くないか。正規のサービスは短くシンプルな URL を使います。少しでも違和感があれば、タップせずにブラウザを閉じてください。
防衛術 2: ステッカーの重ね貼りを見抜く
物理的な偽 QR コードの多くは、本物の上にステッカーを貼り付ける手口です。見抜くポイントは、QR コードの周囲に不自然な段差や浮きがないか、印刷の質感が周囲と異なっていないか、ステッカーの端がめくれていないかです。
特に注意すべき場所は、不特定多数がアクセスする公共の場所です。駐車場の精算機、公衆トイレの案内、バス停の時刻表、観光地の案内板。これらの場所では、QR コードに触れてみて、上に何か貼られていないか物理的に確認する習慣をつけてください。自分のスマホに入っている公式アプリから直接アクセスできる場合は、QR コードを使わずにアプリを使う方が安全です。
防衛術 3: 決済情報の入力は QR コード経由で行わない
QR コードをスキャンした先のページで、クレジットカード番号、銀行口座情報、パスワードの入力を求められた場合は、詐欺を疑ってください。正規のサービスが QR コード経由で直接決済情報を入力させることは稀です。PayPay や楽天ペイなどの正規の決済サービスは、専用アプリ内で処理が完結します。
もし支払いが必要な場面 (駐車場の料金など) で QR コードが提示されている場合は、QR コードを使わずに、サービスの公式サイトや公式アプリから直接アクセスしてください。手間は増えますが、数千円の駐車料金を払うために数十万円のカード不正利用に遭うリスクを考えれば、安い保険です。
防衛術 4 と 5: セキュリティアプリの活用と通報
防衛術 4 は、セキュリティアプリの導入です。Trend Micro、Norton、Kaspersky などのセキュリティアプリは、QR コードのスキャン結果が既知のフィッシングサイトに該当するかをリアルタイムでチェックする機能を備えています。無料版でも基本的なフィッシング検知は利用できます。
防衛術 5 は、不審な QR コードを発見したら通報することです。公共の場所で明らかに後から貼り付けられた QR コードを見つけたら、施設の管理者に報告してください。自分が被害に遭わなくても、次の人が被害に遭う可能性があります。日本では警察庁のサイバー犯罪相談窓口 (#9110) や、フィッシング対策協議会の報告フォームから通報できます。