QRコード詐欺(クイッシング):日常に潜む新たな脅威

QRコード詐欺(クイッシング)が2026年に急増しています。偽QRコードがどのようにお金と個人情報を盗むか、詐欺師がどこに設置するか、そして安全にスキャンする方法を解説します。

· Truvizy Research Team · 8 min read

TL;DR

クイッシングはQRコードを使ったフィッシング詐欺です。詐欺師はレストランのメニュー、駐車場の精算機、荷物ラベル、公共の掲示物にある正規のQRコードを、認証情報を盗む偽サイトにリダイレクトするコードに差し替えます。スマートフォンのカメラはタップ前にわずかなURLしかプレビューしないため、ほとんどの人はすり替えに気づきません。QRコードのリンクを開く前に遷移先URLを必ず確認し、安全チェック機能付きのQRスキャナーを使い、迷った場合は公式ウェブアドレスを手動で入力してください。

駐車場に入り、精算機のQRコードをスキャンし、料金を支払うためクレジットカード情報を入力します。取引は完了したように見えます。その夜、銀行から海外での不正請求が3件あったとの連絡が入ります。カードを誰かに渡したわけでもなく、不審なメールをクリックしたわけでもない。ただQRコードをスキャンしただけなのに, それだけで十分でした。ほとんどの人が聞いたことのない、最も急成長中の詐欺「クイッシング」へようこそ。

QRコードは利便性のために設計されました, スキャンするだけで完了。しかし、ビジネスにとって魅力的なその摩擦のない体験が、詐欺師の手にかかると危険なものになります。ホバーすれば遷移先をプレビューできる不審なメールのリンクとは異なり、QRコードはカメラを向けるまで何も教えてくれません。遷移先URLが見えるときには、多くの被害者がすでに「開く」をタップしています。このわずかなギャップこそが、クイッシングが悪用するものです。

クイッシングとは?

クイッシング, 「QR」と「フィッシング」を組み合わせた造語, は、悪意あるURLをQRコードの中に埋め込み、被害者を詐欺サイトへ誘導する手口です。この詐欺にはいくつかの形があります:公共の場で正規のコードを偽のシールで差し替える方法、従来のスパムフィルターを回避するメールやテキストでQRコードを送る方法、そして不正なコードを大きく表示した偽の文書(請求書、駐車違反通知書、荷物通知書)を作成する方法です。

FBIのインターネット犯罪苦情センターは2024年にクイッシングを新たな優先脅威として指定し、以来その数字は悪化する一方です。サイバーセキュリティ企業は2024年から2025年の間にQRコードを使ったフィッシング攻撃が587%増加したと記録しています。この手法は組織的な詐欺グループの間で人気が高まっています。実行コストが低く、大規模な検出が難しく、画像に埋め込まれたURLを読み取れない電子メールセキュリティツールを特異的に回避するよう設計されているためです。

クイッシングは詐欺戦術がモバイルファーストの攻撃へとシフトしている大きな流れの一部です。AIが詐欺の高度化を加速させている方法の分析で記録したように、詐欺師はスマートフォン時代に人々が採用したツールや習慣を具体的に標的にしています, QRコードはここ5年で最も広く普及したモバイルの習慣の一つです。

QRコード詐欺の仕組み

クイッシング攻撃の仕組みは驚くほど単純です。攻撃者は悪意あるURLをエンコードしたQRコードを生成します, 通常は銀行のログインページ、支払いポータル、政府サービスのクローンサイトです。偽のページは正規のものと見分けがつかないよう設計されており、被害者が入力する認証情報や支払い情報を収集します。

物理的な攻撃では、詐欺師は不正なコードをシールに印刷し、駐車場の精算機、レストランのテーブルテント、公共の掲示板にある正規のコードの上に貼り付けます。この差し替えは数秒で完了します。攻撃者はその後その場を離れ、盗まれたデータをリモートで収集します。交通量の多い駐車場の精算機に1枚のシールをうまく貼るだけで、1日に何十人もの被害者を出すことができます。

詐欺師が駐車場の精算機にある正規のQRコードシールを不正なものに差し替える様子を示した図
詐欺師が駐車場の精算機にある正規のQRコードシールを不正なものに差し替える様子を示した図

メールを使ったクイッシングは異なる手口を使います。攻撃者は銀行、人事部門、宅配業者を装ったメッセージを送り、受信者がアカウントを確認したり配送を追跡する必要があると主張し, 「セキュリティ強化のため携帯でスキャンしてください」というQRコードを含めます。この指示は意図的なものです:インタラクションをモバイルデバイスに移すことで、セキュリティツールが備わった企業のコンピューターから離れ、保護機能が少ない個人の携帯へ誘導します。

偽のページに到達した被害者は、洗練された認証情報収集フォームに直面します。より高度な攻撃ではリアルタイム中継技術を使用します:被害者がユーザー名とパスワードを入力すると、攻撃者はその認証情報を同時に本物のウェブサイトに入力し、二段階認証のプロンプトを被害者に中継して2FAの保護を完全に回避します。

QRコードからのリンクが不審ですか?情報を入力する前にTruvizyでURLを貼り付けてフィッシングの兆候を確認してください。

偽QRコードが出現する場所

駐車場の精算機と支払いキオスクは米国で最も標的にされている場所の一つです。テキサス州交通省は2024年に主要都市の駐車場の精算機に貼られた偽のQRコードシールを数十枚記録しました。被害者は駐車料金を支払うつもりでクレジットカードの詳細情報を全て入力し、代わりにその財務データを直接詐欺師に渡してしまいました。この詐欺は、駐車場での支払いがストレスフルな状況であるため特に効果的です, ドライバーは急いでいることが多く、支払いインターフェースを注意深く精査しません。

レストランのテーブルテントとメニューは、パンデミック後にタッチレスの食事が広まるにつれて主要な感染経路となりました。正規のコードの上または隣に貼られた不正QRコードのシールは、食事客を偽メニューや支払いページへ誘導することがあります。場合によっては、偽のページがオンライン注文に切り替えたと主張する認証情報収集フォームへリダイレクトする前に、説得力のあるメニューを表示することさえあります。

荷物の返送ラベルは急速に成長している攻撃カテゴリーを代表しています。被害者はQRコード付きの返送ラベルが同封された荷物を受け取ります, 時には未注文のもの、時には偽の懸賞キャンペーンの一部として。コードをスキャンすると返品が開始されるとされていますが、実際には「返金処理」のためクレジットカード情報を要求する偽の小売業者ポータルへ誘導されます。

公共交通機関とバス停は、標識が監視能力の限られた自治体によって管理されているため、相当なリスクを持っています。交通マップ、券売機、料金支払い画面の不正なコードは、撤去されるまで何日も気づかれないことがあります。英国では、Transport for Londonが2025年に駅から数百枚の不正QRコードを撤去しました。

メールと文書を使った攻撃は消費者だけでなく企業も標的にします。「安全な支払い」のためのQRコードが含まれた偽の請求書、給与情報を更新するためのコードをスキャンするよう従業員に求める不正な人事通知、偽の荷物配送通知はすべて一般的な企業攻撃手段です。フィッシングメール検出ガイドで説明したように、メールを使った攻撃は自動フィルタリングを回避するために視覚的要素の使用においてますます高度化しています。

偽の慈善団体や募金活動のチラシは人の善意を悪用します。自然災害や大きなニュースイベントの後、寄付用QRコードの付いた不正チラシが地域の掲示板、スーパーマーケット、SNSに現れます。コードは実際の寄付を一切行わずに寄付金とカード情報を収集する説得力のある偽の慈善団体支払いページへリンクしています。

QRコード詐欺がこれほど効果的な理由

クイッシングの効果は根本的な信頼のミスマッチから生まれます。QRコードは利便性と現代性のイメージと結びついています, 正規のビジネスが公式の素材に設置するものです。人々は何年にもわたる使用経験を通じて、ランダムなメールのリンクよりもQRコードの物理的な文脈を信頼するよう訓練されています。レストランのテーブルや駐車場の精算機にあるコードは、その場所自体からの暗黙の承認を帯びています。

カメラアプリはほとんど摩擦を与えません。ほとんどのスマートフォンはQRコードを自動的に認識し、ユーザーが読まずに本能的に閉じてしまう小さなURLプレビューを表示します。プレビューウィンドウは小さく、URLはしばしば長いか短縮されており、脳のパターンマッチングの自然な傾向は、ユーザーが実際にそこにあるものよりも期待するものを見てしまうことを意味します。「secure-payment-parkingzone.com」のようなURLは、注意を払うユーザーには危険信号ですが、気が散っているユーザーには「parking」と読めてしまいます。

駐車場の精算機に到着してQRコードをスキャンします。スマートフォンのカメラにプレビューURLが表示されます:'parking-pay-secure-city.com/pay'。精算機は米国の主要都市にあります。あなたはどうしますか?

  1. すぐにリンクを開く, 都市名が含まれているので正規のはず
  2. URLを注意深く確認する:あなたの市の公式駐車場支払いドメインと一致するか?
  3. 物理的なカードスロットを使うか、検証済みのアプリストアからダウンロードした公式アプリを使う
  4. QRコードをスキャンして支払いを完了する前に精算機を写真に撮る

Answer: 「parking-pay-secure-city.com」のような汎用的に聞こえるドメインは大きな危険信号です。あなたの市の公式駐車場システムには特定の既知のドメイン(例:paybyphone.comやあなたの市の公式.govサイト)があります。支払い情報を入力する前に必ず遷移先URLが期待される公式ドメインと一致するかを確認してください, または利用可能であれば物理的なカードスロットを使用してください。

モバイルの環境はまた、デスクトップコンピューターで人々が持つ多くのセキュリティツールを排除します。企業のエンドポイント保護、フィッシングサイトにフラグを立てるブラウザ拡張機能、クリック前にリンクをホバーしてプレビューする習慣はモバイルには対応していません。携帯では、ユーザーは基本的に自力で対処しなければなりません。

偽QRコードの見分け方

コードを物理的に検査してください。 印刷物の上に貼られたシールを探してください。偽のシールは、わずかに異なる紙の素材、周囲のデザイン要素との微妙なずれ、または印刷されたテキストとシールが重なる部分の見える端があることがよくあります。表面を爪でなぞってみてください, 層状のシールには通常わずかな盛り上がりがあります。

タップ前にURLを完全に読んでください。 カメラがコードをスキャンすると、プレビュー通知またはバナーが表示されます。タップする前に立ち止まり、URLを完全に読んでください。確認すべき点:ドメイン内の期待されるビジネス名(接尾辞や接頭辞ではなく)、正当なトップレベルドメイン(.com、.gov、.org,.xyzや.topのような珍しい拡張子ではなく)、そしてブランド名のように見えるものに「secure」「login」「verify」「payment」などの余分な単語が追加されていないこと。

緊急性に懐疑的になってください。 「今すぐスキャン」「期間限定」「アクセスに必要」などの文言と組み合わされたコードは、考える前に行動させるよう設計されています。正規のビジネスは通常、QR支払いコードに緊急で高圧的な表現を使いません。

公式チャネルで確認してください。 銀行、人事部門、宅配業者からと主張するメールや文書のQRコードをスキャンする前に、その組織が実際にその通知を送ったかどうかを公式ウェブサイトまたはアプリを通じて直接確認してください。QRコードを含む同じメッセージに記載された連絡先情報は絶対に使わないでください。未知のソースからの不審なリンクやコンテンツを評価するには、Truvizyのスキャンツールが行動を起こす前にリスクを評価するのに役立ちます。

代替手段があれば使ってください。 QRコードが駐車場の精算機やキオスクで唯一の支払いオプションである場合、物理的なカードスロットの使用、認証済みのアプリストアからダウンロードした専用の公式アプリでの支払い、または他の方法を探すことを検討してください。支払いや個人情報が関わる場合、利便性がセキュリティに勝ることはありません。

QRコードを安全にスキャンするためのチェックリスト, URLを確認し、物理的なコードを検査し、公式アプリを使用する
QRコードを安全にスキャンするためのチェックリスト, URLを確認し、物理的なコードを検査し、公式アプリを使用する

詐欺被害に遭った場合の対処法

コードをスキャンし、リンクを開き、情報を入力してしまった場合, 迅速に行動してください。1分の遅れが攻撃者にあなたのデータを悪用するさらなる時間を与えます。

支払いカードの情報を入力した場合: 直ちに銀行の不正被害デスクに電話してください(カードの裏面に記載された番号を使い、不審なサイトの番号は使わないでください)。カードの凍結または再発行を依頼してください。情報を入力した時点から不正請求にフラグを立てるよう銀行に依頼してください。

ログイン認証情報を入力した場合: 別の信頼できるデバイスから直ちにパスワードを変更してください。まだ有効でない場合は二段階認証を有効にしてください。アカウントにログインしている見覚えのないデバイスやセッションを確認し、削除してください。同じパスワードを他の場所でも使用している場合, それらも変更してください。

3つの主要な信用調査機関のうち1社(Equifax、Experian、TransUnion)で信用情報に不正警告を設定してください, これにより他の2社にも自動的に通知されます。個人情報が侵害されたと思われる場合は、クレジットフリーズを検討してください。これは無料で、あなたの名義で新しい口座が開設されるのを防ぎます。個人情報盗難防止の総合ガイドでは、全回復プロセスを詳しく説明しています。

AIを活用した詐欺検出でQRコード詐欺やその他のモバイル脅威から身を守ってください。

今後の自衛策

最も重要な習慣はタップ前に一時停止することです。クイッシングの設計全体は、QRスキャンが自動的で瞬間的に感じられるという事実に依存しています。その自動的な反応を断ち切ること, URLを読むためのたった2秒でさえ, が攻撃を妨害します。ルールにしてください:まずURLをプレビューし、それから開く。

専用のQRスキャナーアプリを使用してください。デコードされたURLに対してリアルタイムのセーフティチェックを実行し、タップ前に提示してくれるアプリです。主要なセキュリティベンダーから無料で入手できるこれらのアプリは、スキャンワークフローに組み込まれたURLチェッカーのように機能します。クリック前にリンクをホバーするモバイル版相当のものです。

スマートフォンのOSとブラウザを常に最新の状態に保ってください。 セキュリティパッチは悪意あるサイトが訪問されたときにドライブバイダウンロード攻撃が悪用する脆弱性を頻繁に修正します。パッチの当たっていないスマートフォンは、認証情報が安全であっても、クイッシング攻撃の第二段階に対して大幅に脆弱になります。

認証アプリを使って二段階認証を有効にしてください, SMSではなく。スミッシングとSMS詐欺のガイドで述べたように、SMSベースの2FAは傍受される可能性があります。認証アプリはデバイス上でローカルにコードを生成するため、リアルタイム中継攻撃を大幅に困難にします。

不審なコードを見つけたら報告してください。公共のQRコードに不審なシールを見つけた場合、その場所を撮影し、ビジネスまたは地方当局に報告してください。悪意あるシールを数時間以内に撤去することで、数十人の潜在的な被害者を保護できます。

Key Takeaways

QRコードはなくなりません, そして、それを悪用する詐欺師もなくなりません。タッチレス決済、デジタルメニュー、モバイルファーストのサービスが日常生活に深く組み込まれるにつれ、クイッシングはより高度で広範になるでしょう。解毒剤は認識です:どんな物理的なQRコードも差し替えられる可能性があること、メール内のコードはどこへでもリンクできること、そしてタップ前にURLを読むためのたった2秒が非常に高くつく教訓からあなたを救う2秒になる可能性があることを知っておいてください。

Truvizyのプロテクションプランには不審なURLとリンクを分析するツールが含まれています, QRコードからデコードされたURLをTruvizyに貼り付けると、その正当性についてAIを活用した即時評価を受けられます。詐欺師が悪意あるリンクを画像の中に隠す脅威環境では、実際の遷移先を確認するツールを持つことはもはや任意ではありません, 不可欠です。

スミッシング:銀行からのそのテキストはおそらく詐欺です — クイッシングと同じ心理的手口を使ったテキストベースのフィッシング。

フィッシングメール検出 — フィルターを回避するためにQRコードを使うものを含む、メールベースの攻撃を識別する方法。

ソーシャルエンジニアリング攻撃 — クイッシングと全ての現代的詐欺の背後にある心理的操作技術。

FAQ

クイッシングとは何ですか?

クイッシングはQRコードを使ったフィッシング詐欺です。攻撃者が正規のQRコードを差し替えるか偽のQRコードを作成し、被害者をログイン情報や支払い情報を盗む悪意あるウェブサイト、またはマルウェアをインストールするサイトへ誘導します。

スキャン前に偽のQRコードかどうかを見分けるには?

コードを物理的に検査してください:元のコードの上に貼られたシールがないか、周囲の素材への損傷がないか、近くのコードと比べて不自然に見えないか確認してください。スキャン後は、タップ「開く」を押す前にカメラアプリのプレビューで完全な遷移先URLを必ず確認してください。URLが期待されるビジネスのドメインと完全に一致しない場合は進まないでください。

QRコードをスキャンするだけでスマートフォンにマルウェアがインストールされますか?

カメラでQRコードをスキャンするだけではマルウェアはインストールされません, ただし、生成されたリンクを開くと感染する可能性があります。悪意あるサイトはドライブバイダウンロード、認証情報のフィッシング、偽アプリのインストールを促すことがあります。スマートフォンのOSを常に最新の状態に保ち、不明なソースからのアプリインストールを避け、内蔵URLセーフティチェック機能付きのQRスキャナーを使用してください。

偽のQRコードが最も多い場所はどこですか?

高リスクな場所には、駐車場の精算機、レストランのテーブルとメニュー、公共交通機関の停留所、荷物の返送ラベル、ホテルのロビー、公共の場に貼られたチラシなどがあります。誰かが一晩で気づかれずにコードを差し替えられるような、監視されていない物理的な空間はすべて潜在的なターゲットです。

不審なサイトをスキャンして情報を入力してしまった場合はどうすればいいですか?

直ちに行動してください:入力したパスワードを変更し、支払い情報を提供した場合は銀行に連絡し、影響を受けたアカウントで二段階認証を有効にし、信用情報を監視してください。reportfraud.ftc.govでFTCに事案を報告し、ビジネスの敷地内にあった場合はそのビジネスに警告して、侵害されたコードを差し替えられるようにしてください。