偽のQRコードを見抜く方法(クイッシング対策)
偽のQRコードを見抜く最大のコツは、「読み取ってすぐに開かず、まずリンク先のURLを最後まで確認する」ことです。QRコードを使った詐欺は「クイッシング(quishing=QR+フィッシング)」と呼ばれ、本物のポスターや請求書に偽コードのシールを上から貼る、本物そっくりのドメインに誘導する、といった手口が増えています。この記事では、典型的な手口と、被害を防ぐ確認の習慣をまとめます。
クイッシングとは
クイッシングは、QRコードを入り口にして偽サイトへ誘導し、ログイン情報やクレジットカード番号、個人情報を盗み取る詐欺です。メールのフィッシングと違い、コードを見ただけでは行き先がわからないため、警戒されにくいのが特徴です。
QRコードは人間の目では中身を読めません。だからこそ、詐欺師はそこに偽のURLを隠せます。
よくある偽QRコードの手口
実際に報告されている手口には、次のようなものがあります。
- 本物への上貼り — 駐車場の精算機、店頭ポスター、飲食店のメニューなどに、偽コードのシールを上から貼る。
- そっくりドメイン —
example.comをexamp1e.com(lを1に)やexample-pay.comのように、ぱっと見で気づきにくいドメインにする。 - 偽の請求書・はがき — 「未払い料金があります」などと不安をあおり、支払いコードを読ませる。
- 無料Wi-Fiを装う — 公共の場で偽のWi-Fi接続コードを掲示し、情報を抜き取る。
開く前に確認する習慣
被害を防ぐ鍵は、読み取った瞬間に自動で開かず、URLを目視で確認することです。
- リンク全体を最後まで読む。 短縮URLや、見慣れないドメインは特に要注意です。
- ドメイン部分を確認する。
https://の直後から最初の/までが本当の行き先です。ここが正規のものか見極めます。 - 心当たりのないコードからログイン・支払いをしない。 急かす文言(「本日中に」「アカウント停止」)は詐欺の典型です。
- 公式アプリ・公式サイトから入り直す。 銀行や決済は、QRからではなく自分でアプリを開く方が安全です。
QR Toolkit は、コードを読み取った後、ブラウザで開く前にリンク先のURLを画面に表示します。開く前に行き先を自分の目で確認できるため、不審なドメインに気づきやすくなります。
安全な確認のチェックリスト
| 確認ポイント | 安全 | 危険のサイン |
|---|---|---|
| ドメイン | 正規の綴り・ブランド名 | 似せた綴り・余計な単語 |
| 通信 | https:// | http:// のみ |
| 文言 | 落ち着いた案内 | 「至急」「停止」など不安をあおる |
| 設置場所 | 公式の印刷物 | シールが上貼りされた跡 |
知っておきたい限界
URLを表示するアプリは、行き先の確認には役立ちますが、そのサイトが安全かどうかまでは判定しません。QR Toolkit は端末内でコードをデコードし、開く前にリンクを表示しますが、マルウェア検査やサイトの危険度判定は行いません。最終的に「開くかどうか」は、表示されたURLを見て自分で判断することが大切です。怪しいと感じたら、開かないのがいちばんの対策です。
まとめ
偽QRコードは「読んでも中身が見えない」ことを悪用します。だからこそ、読み取り後に必ずURLを確認し、心当たりのないコードからログインや支払いをしない習慣が最大の防御になります。リンクを開く前に行き先を表示できる QR Toolkit を使えば、その確認の一手間がぐっと簡単になります。
よくある質問
Q. QRコードを読み取っただけで被害に遭いますか?
通常、読み取っただけで自動的に何かが盗まれることはありません。多くの被害は、表示された偽サイトを開き、そこでログイン情報や決済情報を入力してしまうことで起きます。だからこそ、開く前にURLを確認し、安易に情報を入力しないことが重要です。
Q. 短縮URLのQRコードは危険ですか?
短縮URL自体が違法なわけではありませんが、行き先が見えないため、詐欺に悪用されやすいのは事実です。短縮URLのコードは特に慎重に扱い、送り主や設置場所が信頼できるか確認してから開くようにしてください。
Q. QR Toolkit は危険なサイトを自動でブロックしますか?
いいえ。QR Toolkit は、コードを開く前にリンク先のURLを表示しますが、サイトの危険度判定やマルウェア検査は行いません。表示されたURLを自分で確認し、不審な場合は開かない、という判断にお役立てください。