QRコードは安全？ 詐欺を見抜いて回避する方法を解説

QRコードは、支払いページやレストランのメニューなどのデジタル情報に、手軽なスキャンひとつでアクセスできる、現代社会に欠かせない存在です。

一方で、その普及により、マルウェアの拡散やデータ窃取、詐欺を目的とするサイバー犯罪者の標的にもなっています。

QRコードのリスクは、その手軽さにあります。悪意のあるQRコードは正規のものと見分けがつかない場合があり、高度なセキュリティ対策を講じていても、人為的ミスによる誤スキャンを完全に防ぐことはできません。そのため、常に注意を払うことが重要です。

このガイドでは、QRコードを安全に利用するために必要な知識を解説します。QRコードの仕組みや代表的な詐欺手口を紹介し、不正なコードを見抜いて回避するための実践的な対策をまとめています。

QRコードとは？

QRコード（Quick Responseコード）とは、デジタルデバイスで素早く読み取れる二次元コード（a two-dimensional code that digital devices can quickly read）です。黒と白の点で構成された独自のパターンを持ち、最大177×177のモジュールに情報が符号化されています。QRコードは、デジタルコードの読み取り効率を高める目的で、1994年にデンソーウェーブの原昌宏氏と長谷川孝之氏によって開発されました。

現在では、従来の一次元バーコードよりも多くの情報を保存できる利便性から、スーパーマーケットやレストラン、空港など、さまざまな場面で活用されています。

QRコードの仕組み

QRコードをスキャンすると、デバイスのカメラや専用アプリがコードの画像を読み取り、黒と白のパターンからデータを解析します。解析された情報は、端末で利用できる形式に変換されます。

変換後の情報に応じて、特定の動作が実行されます。たとえば、WebサイトのURLが含まれていればブラウザが開き、連絡先情報であれば新しい連絡先として保存する操作が促されます。

QRコードの構成要素とは？

QRコードは、主に次のような重要なパーツで構成されています。

• 位置検出パターン：左上・右上・左下の3か所にある大きな四角形です。QRコードの向きを判別するための目印で、どの角度からでも正しく読み取れるようにします。
• 位置合わせパターン：主にサイズの大きいQRコードに含まれる小さなパターンで、複雑なコードでも歪みやズレを防ぎ、正確な読み取りを可能にします。
• タイミングパターン：位置検出パターン同士をつなぐ、黒と白が交互に並んだラインです。データ領域の大きさを判断するための基準となります。
• 形式情報：位置検出パターンの近くにあり、誤り訂正レベルやデータマスクの方式に関する情報が含まれています。QRコードが一部破損していても読み取れるよう補助します。
• バージョン情報：QRコードの種類（バージョン）を示し、構造や格納できるデータ量を決定します。
• データおよび誤り訂正キー：QRコードの大部分を占める領域で、実際のデータと誤り訂正コードが組み合わさっています。これにより、表面の最大30％が隠れたり損傷したりしてもスキャンが可能です。
• クワイエットゾーン：QRコードの周囲に設けられた余白部分で、背景からコードを区別し、他の視覚要素による影響を防ぎます。

QRコードの種類とスタイル

QRコードにはさまざまな種類があり、それぞれ柔軟性、データ容量、セキュリティに影響する特性を持っています。これらの違いを知ることで、どのように使われているのか、またどこに潜在的なリスクがあるのかを理解しやすくなります。

静的QRコードと動的QRコード

QRコードの主な違いのひとつは、静的か動的かという点ですが、どちらも仕組み自体は同じです。実際の違いは、コード内のリンクがどこを指しているかにあります。

静的QRコードは、クーポン、連絡先番号、Wi-Fiパスワードなど、固定されたURLやデータを直接指します。一度作成すると、そのリンクを変更することはできません。

一方、動的QRコードはサービスに近い仕組みです。企業が一意のリダイレクトURLを提供し、それを指すQRコードを生成します。その後、そのサービスを通じて、リダイレクト先を管理できます。サービスによっては、リダイレクトURLに届いたリクエストを自動的に記録するといった追加機能が用意されている場合もあります。

このように、QRコード自体の機能は同じでも、動的QRコードでは中間のリダイレクトサービスを利用することで、柔軟性と管理性が得られます。

一般的なQRコードの種類（モデル1、Micro QR、rMQR、Frame QR）

静的／動的の違い以外にも、いくつかの標準化されたQRコードの種類があります。

• モデル1およびモデル2 QRコード：モデル1は最初に開発されたQRコードで、最大14モジュールで1,167個の数字を格納できます。モデル2はモデル1を改良したもので、現在もっとも一般的に使われている標準的なQRコードです。最大40モジュールで7,089個の数字を格納でき、ポスターやチラシ、商品パッケージなどでよく見られます。
• Micro QRコード：非常に小型のQRコードで、最大35個の数字を格納できます。位置検出パターンは1つのみで、電子部品、商品タグ、名刺などの小さな表示に使われます。
• 矩形Micro QR（rMQR）コード：正方形のQRコードが収まらない細長いスペース向けに設計された長方形のQRコードです。位置検出パターンを1.5個持ち、361個の数字を格納できます。
• Frame QRコード：コード中央にカスタマイズ可能な「フレーム」領域を持つQRコードです。この中央部分に画像、ロゴ、テキストを表示しながら、周囲のQRコードは通常どおりスキャンに使用されます。

セキュアQRコード（SQRC）：なぜより安全なのか

SQRCは一見すると通常のQRコードと同じですが、1つのQRコードに公開データと非公開データの両方を格納できる点が特徴です。QRコードをスキャンすれば誰でも公開情報にはアクセスできますが、非公開データは、指定された読み取り可能なデバイスを持つ人だけが閲覧できます。

この二層構造により、安全なログイン情報へのアクセス、機密文書の配布、本人確認といった用途に適しています。たとえ第三者がコードをスキャンしても、保護されたデータにはアクセスできません。

SQRCでは暗号化とアクセス制御が用いられています。公開鍵基盤やデバイス固有のアクセス制御などの仕組みを組み込むことで、なりすまし、データ漏えい、中間者攻撃のリスクを大幅に低減します。そのため、改ざん防止が求められる製品トラッキングなど、企業や産業分野で利用されています。

つまり、正しい認証情報がなければ、攻撃者は何もできません。見えているQRコードからは暗号化された部分が分からないため、SQRCはセキュリティが重視される場面において、従来のQRコードより安全な選択肢となります。

なぜQRコードは詐欺に利用されるのか？

QRコードは手軽で広く普及しているため、サイバー犯罪者にとって格好の標的となっています。QRコードを使った詐欺は、「クイッシング（QRコード・フィッシング）」とも呼ばれます。

QRコード人気の高まりと世界的な普及

QRコードは日常のあらゆる場面で使われるようになり、近年、爆発的な成長を遂げています（seeing exponential levels of growth in recent years）。製造業向けの限定的なツールとして始まったQRコードは、現在では世界中のマーケティング、小売、物流に欠かせない存在となりました。その結果、多くの人が深く疑うことなくQRコードをスキャンする習慣を身につけています。

サイバー犯罪者がQRコードへの信頼を悪用する仕組み

QRコードのセキュリティ上の本質的な問題は、ユーザーが内容を確認せずにスキャンしてしまう点にあります。攻撃者はこの心理を利用し、フィッシングサイトへ誘導する不正なリンクをQRコードに埋め込みます。さらに、レストランや駐車場の精算機などの公共スペースで、正規のQRコードの上から偽のコードを貼り付けるといった手口も使われます。

こうした、リンク先が見えないという特性と、物理的に差し替えられる可能性が重なることで、QRコードは非常に悪用されやすい攻撃手段となっています。

QRコードは追跡されるのか？

はい。ただし動的QRコード（dynamic QR codes）の場合に限られます。この仕組みでは、QRコードをスキャンすると、最初にリダイレクトサーバーへアクセスし、そこから最終的なリンク先に転送されます。この過程で、スキャン回数や日時、IPアドレスに基づくおおよその位置情報が記録される可能性があります。

QRコード経由で位置情報が追跡されるのが不安な場合は、ExpressVPNを使ってIPアドレスを隠す（hide your IP address）ことで、リダイレクトサーバーに実際の所在地を知られないようにできます。

QRコードは個人情報を収集するのか？

QRコードそのものが個人データを収集することはありません。ただし、QRコードのリンク先となるコンテンツが個人データを収集する可能性はあります。もしQRコードが不正なウェブサイトに誘導した場合、そのサイトがログイン情報や位置情報、デバイス情報などの機密データを取得しようとすることがあります。

QRコードはハッキングされるのか？

QRコードは情報が埋め込まれた静的な画像であり、従来のシステムのように内部からハッキングされることはありません。生成後にQRコードの内容を書き換えることはできません。ただし、不正なQRコードを印刷したステッカーを正規のコードの上に貼り付けるなど、物理的に差し替えられるリスクはあります。

最も一般的なQRコード詐欺

1. フィッシングメールに含まれるQRコード

この詐欺では、悪意のあるQRコードがメールに直接埋め込まれています。メールは銀行や有名なオンラインサービス、配送会社などを装い、アカウント確認や荷物の追跡といった正当そうな理由で、QRコードをスキャンするよう促します。

従来のメールフィルターは画像をテキストほど正確に分析できないため、不正なQRコードが検知されにくく、こうした手口は一般的な攻撃方法となっています。フィッシングメールに関する詳しいガイド（in-depth guide on phishing emails）では、危険なメールを見分けるために注意すべきポイントを解説しています。

2. レストランのテーブルやメニューに設置された偽のQRコード

多くのレストランでメニューやテーブルにQRコードが使われるようになったことで、詐欺師は正規のQRコードの上に偽のコードを貼り付けるといった手口を使います。こうした偽のQRコードは、個人情報を盗み取る可能性のある不正なウェブサイトへと誘導します。

3. 公共Wi-Fiや無料アクセスポイントで使用されるQRコード

カフェや空港、ショッピングセンターなどでは、利便性のためにQRコードを使って公共Wi-Fiへ接続するケースが増えています。サイバー犯罪者はこの点を突き、無料Wi-Fiをうたう偽のQRコードを設置して、次のような脅威へと誘導します。

• 不正なWi-Fi接続：安全でない、または悪意のあるネットワークに接続させ、通信内容を盗み見られる可能性があります。
• マルウェアのダウンロード：Wi-Fi設定ファイルを装った有害なソフトウェアをダウンロードさせられます。
• フィッシングページ：個人情報を盗む目的の偽ログインページへ誘導されることがあります。

そのため、公共Wi-Fiでは公共Wi-FiでVPNを使う（use a VPN on public Wi-Fi）ことで通信を暗号化し、IPアドレスを隠すことが重要です。ExpressVPNでは、Threat Managerツールにより、悪意のあるウェブサイトへのアクセスも防止できます。

4. 偽造パッケージや改ざんされたラベル

商品パッケージやラベルも、QRコード詐欺に使われることがあります。詐欺師は正規品のQRコードをコピーして偽造品に貼り付けます。購入者が真贋確認のためにQRコードをスキャンすると、公式サイトへ誘導されてしまいます。

5. 銀行取引や決済詐欺に使われるQRコード

QRコードによる簡単な非接触決済が普及したことで、次のような金融詐欺の手口が生まれています。

• 偽のコード貼り替え：駐車料金精算機や給油機などに不正なQRコードを貼り、カード情報や口座情報を盗む偽の決済ページへ誘導します。
• 偽の請求書支払い：公共料金や請求書を装った支払い案内に不正なQRコードを含め、支払い先を詐欺師の口座へとすり替えます。

6. 医療・ヘルスケア分野におけるQRコード詐欺

医療分野では、患者情報の管理、診察予約、電子カルテへのアクセスなどにQRコードが利用されていますが、詐欺師はこれを悪用することがあります。個人情報の窃取を目的としたフィッシングサイトへ誘導するQRコード付きの、不正なメールや郵送物が届く可能性があります。

7. 暗号資産のQRコード詐欺

暗号資産を利用している場合は、次のような詐欺に注意が必要です。

• 偽のウォレットアドレス：正規の取引や配布を装ったQRコードであっても、詐欺師のウォレットアドレスが埋め込まれていることがあります。
• ウォレット認証情報のフィッシング：QRコードから偽の取引所ログイン画面や「ウォレット接続」サービスへ誘導され、ウォレットの秘密鍵を盗まれるおそれがあります。
• 「無料暗号資産」をうたう誘導：無料で暗号資産が受け取れると主張するフィッシングサイトへ、QRコード付きのリンクや投稿から誘導されることがあります。

8. ソーシャルメディアのQRコード詐欺

ソーシャルメディア上では、QRコードを使った詐欺が横行しています。高額賞品や無料ギフトカード、限定コンテンツをうたう投稿やプロフィール欄にQRコードが掲載されている場合がありますが、スキャンすると個人情報を盗む不正サイトへ誘導されます。

9. 迷惑郵便に含まれる偽のQRコード

QRコード詐欺は郵送物にも及んでいます。詐欺サイトへ誘導するQRコードが記載された郵便物が届くことがあります。実際に、スイス連邦気象・気候局を名乗るMeteoSwissからの郵便を受け取った人（people received mail claiming to be from MeteoSwiss）がいました。その手紙では気象警報アプリのダウンロードを求めていましたが、実際には悪意のあるアプリでした。

10. 偽のQRコード読み取りアプリ

現在、多くのスマートフォンにはQRコード読み取り機能が標準で搭載されていますが、第三者製アプリをダウンロードしてしまうケースもあります。これらの中には、マルウェアをインストールしたり、個人データを収集したりする悪質なアプリも存在します。アプリを利用する際は、正規の開発元であること、利用者数が多く評価が高いことを必ず確認してください。

QRコードをスキャンする際に安全を保つ方法

いくつかの基本的な習慣を身につけるだけで、安全性は大きく向上し、安心してQRコードをスキャンできます。重要なのは、すべてのQRコードに対して常に注意を払い、安易に信用しない姿勢です。以下のポイントを押さえることで、誤って不正なQRコードをスキャンするリスクを減らせます。

QRコードスキャンのチェックリスト

QRコードをスキャンする前に、次の点を簡単に確認してください。

• 送信元を確認する：スキャンしようとしているQRコードが、信頼できる提供元のものであるかを確認します。
• 設置状況を考える：その場の状況に照らして、QRコードが自然に設置されているか考えます。レストランのテーブルにあるQRコードは一般的ですが、理由の分からない公共の壁に貼られているものは注意が必要です。
• 改ざんされていないか確認する：別のQRコードの上にステッカーとして貼られていないか、目で見て確認します。少しでも改ざんの兆候があれば、危険信号です。
• URLを事前に確認する：スマートフォンの標準QRコードスキャナーでは、URLのプレビューが表示されます。開く前に正規のURLかどうかを確認する（Verify whether it’s a legitimate URL）ようにしましょう。

安全にQRコードをスキャンするためのおすすめアプリ

QRコードの読み取りには、スマートフォンに標準搭載されているカメラアプリを使うのが最も安全です。多くの端末では、カメラを起動してQRコードに向けるだけでスキャンできます。標準アプリを使うことで、データを監視したり、マルウェアを含む可能性のある外部アプリを避けることができます。

悪意のある、または改ざんされたQRコードの見分け方

QRコードが不正に改ざんされている可能性を示す兆候には、次のようなものがあります。

• 物理的な貼り替え：正規のQRコードの上にステッカーが貼られている場合は、改ざんの可能性があります。端の浮き、質感の違い、位置のズレを確認してください。
• 印刷品質が低い：不正なQRコードは、正規のものと比べて画質が粗く、ぼやけていたり歪んでいたりすることがあります。
• 不審な設置場所：街灯の柱など、不自然な場所にあるQRコードは、疑ってかかるべきです。
• ブランド表記の違和感：有名企業を名乗っていても、ロゴや色使いに違和感がある場合は偽物の可能性があります。
• 不明なURL：スキャン時のプレビューに、見覚えのないURLが表示された場合は注意してください。

不審なQRコードをスキャンしてしまった場合の対処法

誤って不正なQRコードを読み取ってしまうと不安になりますが、迅速に行動することで被害を最小限に抑えることができます。まず、スキャン後に何が起きたのかを確認してください。見慣れないページが開いただけなのか、それとも個人情報や支払い情報を入力してしまったのかによって、取るべき対応は異なります。以下は、詐欺の可能性がある場合に行うべき基本的な対処手順です。

インターネットから切断する

最初に行うべき対策は、インターネット接続を切ることです。異常に気づいたら、すぐにWi-Fiやモバイルデータ通信をオフにしてください。これにより、端末からの情報流出や、追加のマルウェアが裏でダウンロードされるのを防げます。

ファイルをバックアップする

重要なファイルは優先的にバックアップを作成しましょう。最新のバックアップがあれば、書類や写真などの大切なデータを安全に保てます。マルウェア感染によって端末の初期化が必要になる事態に備え、外付けハードドライブや信頼できるクラウドストレージサービス（trusted cloud storage service）を使ってバックアップしておくことが理想的です。

マルウェアスキャンを実行する

端末にマルウェアの兆候（signs of malware）が見られる場合は、信頼できるウイルス対策ソフトでフルスキャンを実行してください。検出精度を高めるため、定義ファイルが最新であることを確認し、検出された脅威については、ソフトの指示に従って隔離または削除しましょう。

オンラインアカウントを保護する

QRコード詐欺が疑われる場合、特にログイン情報やアカウント情報を入力してしまったときは、オンラインアカウントの情報を更新することが重要です。次の方法でデジタル上の安全を確保しましょう。

• パスワードを変更する：メール、銀行サービス、SNS、支払いに紐づくアカウントなど、重要なオンラインアカウントのパスワードをすぐに変更してください。ExpressVPN Keysパスワードマネージャー（the ExpressVPN Keys password manager）を使えば、管理と変更を効率的に行えます。
• 二要素認証（2FA）を有効にする：利用可能なすべてのアカウントで2FAを有効化してください。これにより、仮にパスワードが盗まれても、追加の認証が必要となり、不正ログインを防げます。

クレジットを凍結する

社会保障番号や運転免許証番号などの個人識別情報が漏えいした場合は、クレジット凍結を行う必要があります（You should initiate a credit freeze）。クレジット凍結により、第三者があなた名義で新しいクレジット口座を開設できなくなり、なりすまし被害を大きく抑えられます。

銀行や決済事業者に連絡する

銀行情報やクレジットカード番号などを入力してしまった場合は、すぐに銀行やカード会社へ連絡してください。状況に応じて、不正利用の疑いがあるカードの停止や再発行など、必要な対策が案内されます。

個人情報盗難の兆候を確認する

情報漏えいの可能性がある場合は、個人情報盗難を示す不審な動きがないか継続的に確認しましょう。代表的な兆候は次のとおりです。

• 銀行口座やクレジットカード明細に覚えのない請求がある
• 利用した覚えのないサービスの請求書が届く
• 開設していないアカウントに関する不審な電話やメール、メッセージが届く

こうした兆候に注意を払い続けることが重要です。米国にお住まいの場合は、ExpressVPNのIdentity Defender（ExpressVPN’s Identity Defender）を利用することで、IDアラート、ID盗難保険、データ削除、クレジットスキャンを組み合わせた包括的な個人情報保護を受けることができます。