QRコードは安全?クイッシング(QRフィッシング)の手口と安全な読み取り方
結論から言うと、QRコード自体は安全です。QRコードは白黒のパターンに情報を埋め込んだ「画像」にすぎず、ウイルスやマルウェアそのものが入っているわけではありません。危険なのはコードではなく、**コードが指し示す先(リンク先)**です。ですから、読み取る前にリンクを先に表示してくれる安全なQRコードスキャナーを使い、クイッシング(QRフィッシング)に注意すれば、ほとんどの危険は避けられます。
QRコードは、飲食店のテーブル、商品ラベル、バス停、名刺など、私たちの生活のあらゆる場所にあります。それだけ頻繁にスキャンしていると、「これ、読み取って大丈夫かな?」と不安になるのも当然です。この記事では、QRコードの本当のリスクと、クイッシングを避ける具体的な方法、そして安全なQRコードリーダーアプリを選ぶ基準を整理してお伝えします。
QRコードはどう動くのか
QRコードは、黒と白の四角形のパターンとして情報を保存する二次元バーコードです。スマートフォンのカメラやQRコードリーダーでスキャンすると、端末がそのパターンをデータへとデコード(解読)します。中身の多くはウェブサイトのアドレス(URL)ですが、ときにはプレーンテキスト、連絡先情報(vCard)、Wi-Fi接続情報が入っていることもあります。
ここが重要なポイントです。QRコードは情報を届ける「通り道」であって、その中でプログラムが勝手に実行されるわけではありません。紙に書かれたURLとよく似ています。アドレスそのものは無害ですが、その先が偽サイトであれば問題になる、というのと同じ理屈です。リスクは、スキャンした「後」に何をするかから生まれます。
QRコードの本当のリスク
フィッシングと悪意あるURL
最も多い脅威は、フィッシングサイトへ誘導するQRコードです。フィッシングサイトとは、ログイン情報や個人情報を盗むために作られた偽のページのことです。QRコードは見ただけでは行き先が読めません。攻撃者はこの性質を悪用し、メールやSMSで怪しいリンクを見たときに人が自然に抱く警戒心をすり抜けようとします。
クイッシング(QRフィッシング)
QRコードを使ったフィッシングには、専門用語で「クイッシング(quishing)」という名前が付けられています。詐欺師が、正規のQRコードの上に偽のQRコードを貼り付ける手口です。たとえば駐車場の精算機、飲食店のテーブル、公共のポスターなどが狙われます。利用者が偽コードをスキャンすると、攻撃者が用意した精巧な偽ページへ飛ばされてしまいます。
日本でも、独立行政法人やセキュリティ団体(JSSEC など)が、メール内のQRコード画像を使ったクイッシングへの注意を呼びかけています。QRコードはメールのセキュリティフィルターを通り抜けやすく、クリック可能なリンクなら弾かれるはずの怪しいURLでも、画像になっていると見逃されやすいためです。実際、2018年には日本国内で、QRリーダーアプリが利用者の位置情報などを無断送信していた事例が報じられ、注意喚起が行われました。
不正なダウンロードと過剰なデータ収集
QRコードがウェブページではなくファイルのダウンロードにつながるケースもあります。最近のスマートフォンはインストール前に必ず確認を求めますが、古い端末では注意が必要です。また、トラッキングスクリプトで個人情報を積極的に集めたり、複数のURLを経由させて閲覧行動をプロファイリングしたりするページにつながるコードもあります。
安全にスキャンするための習慣
いくつかのシンプルな習慣を身につけるだけで、ほとんどの場面で安全を確保できます。
1. 開く前にURLをプレビューする
これが最も大切なステップです。信頼できるスキャナーアプリは、何かを実行する前にデコードした内容を必ず表示します。QR Toolkit は、この原則を中心に設計されています。コードをスキャンすると、デコードは端末内で行われ、アプリはまずリンク先のURL全体を画面に表示します。開くか、コピーするか、閉じるかは利用者自身が決めます。利用者が承認するまで何も起こらないため、クイッシング対策として有効です。
2. URLを注意深く確認する
URLが表示されたら、よく見てください。ドメインは、あなたが想定しているブランドやサービスと一致していますか。「amazon.com」のはずが「arnazon.com」になっているといった巧妙なスペルミスや、見慣れないドメイン拡張子に注意します。少しでも違和感があれば、開かないでください。
3. 信頼できるスキャナーアプリを使う
スマートフォン標準のカメラは、リンクをほぼ即座に開いてしまい、中身を確かめる余地がほとんどありません。専用のQRコードスキャナーアプリを使えば、より細かくコントロールできます。内容のプレビューを表示し、スキャン履歴を残せて、広告やトラッキングを差し込まないアプリを選びましょう。
4. 公共の場のQRコードには慎重に
公共の場所にあるQRコードには、まず疑ってかかるのが安全です。知っている事業者の公式な看板にあるコードは概ね問題ありません。一方で、無造作なステッカー、電柱に貼られたチラシ、手書きのメモにあるコードは要注意です。別のコードの上から貼られたように見えるものは避けてください。
5. スマートフォンを最新に保つ
最新のiOSとAndroidには、既知のフィッシングサイトや不正なダウンロードに対する保護機能が組み込まれています。OSとブラウザを最新に保つことで、最新のセキュリティ修正の恩恵を受けられます。
事業者がQRコードを使うときの注意点
ビジネスでQRコードを使うなら、お客様を守る責任も伴います。
- HTTPSのリンクを使う。 QRコードの背後にあるURLは、すべてHTTPSにして暗号化された接続を確保しましょう。
- 自社で保有するドメインを使う。 重要なコードには無料のURL短縮サービスを避けます。サービスが終了したり乗っ取られたりすると、コードが動かなくなったり危険な先へ転送されたりします。
- 掲示しているコードを定期的に点検する。 自社のコードの上に別のコードのステッカーが貼られていないか、ときどき確認します。
- チームに周知する。 業務端末で出所不明のQRコードをスキャンしないよう、怪しいメールリンクを開かないのと同じ感覚で従業員に伝えましょう。
個人情報保護法(APPI)の観点から
日本では、改正個人情報保護法(APPI)により、事業者がフォームやアプリを通じて取り扱う個人情報の安全管理が強く求められています。QRコードから誘導したページで個人情報を入力させる場合、その取り扱いが利用者から見て透明であることが重要です。利用者側としても、QRコードから飛んだ先で氏名・連絡先・決済情報の入力を求められたら、本当に正規の事業者か、URLが正しいかを確認する習慣が、自分の情報を守る一番の近道になります。
なお、日本ではPayPayやLINE Pay、楽天ペイといったQRコード決済が広く普及していますが、この記事で扱っているのは決済以外(非決済)のQRコード、つまりWebサイト・Wi-Fi・名刺(vCard)などのコードを安全に読み取る話です。決済QRはアプリ内の専用フローで処理されるため、ここでの「読み取り前にURLを確認する」習慣とは扱いが異なります。
まとめ
QRコードは、基本的な注意さえ払えば安全で便利な技術です。リスクは、行き先を確かめずにリンクをそのまま開いてしまうことから生まれます。これはインターネット上のどんなリンクにも共通する、ごく当たり前のリスクです。
QR Toolkit のように、行動する前にコードの中身を見せてくれるアプリで賢くスキャンしましょう。開く前にURLを確認し、公共の場のコードやクイッシングを警戒する。この習慣があれば、自分がすべてをコントロールしているという安心感のもとで、自信を持ってスキャンできます。
よくある質問
Q. カメラアプリと専用QRコードスキャナー、どちらが安全ですか?
専用のQRコードスキャナーの方が、安全に確認しやすいです。標準カメラはリンクをほぼ即座に開こうとしますが、リンク先を先に表示する専用アプリなら、URLを目で確認してから開くか閉じるかを選べます。たとえば QR Toolkit はデコードを端末内で行い、リンク先を画面に表示してから利用者の判断を待ちます。
Q. クイッシング(QRフィッシング)かどうかを見分ける方法はありますか?
スキャン後に表示されるURLを必ず確認するのが基本です。ドメイン名が想定するサービスと一致しているか、不自然なスペルや見慣れない拡張子がないかをチェックします。公共の場で別のコードの上に貼られたように見えるステッカーは、特に注意が必要です。少しでも怪しければ開かないことが、最も確実な対策です。
Q. QRコードを読み取っただけでウイルスに感染しますか?
読み取っただけで感染することは通常ありません。QRコードは情報を運ぶ通り道であり、コードの中でプログラムが実行されるわけではないからです。危険が生じるのは、読み取った先のサイトで個人情報を入力したり、不審なファイルをインストールしたりしたときです。だからこそ、開く前にURLを確認する習慣が大切になります。