QRコードは安全？危険性・見分け方・安全確認の必須ポイント

QRコードの普及と利便性

QRコードは、商品の詳細情報やウェブサイト、アプリのリンクなどを簡単に共有できる便利なツールとして、日常生活に広く浸透しています。スマートフォンのカメラ機能を使って手軽にスキャンできるため、店舗での決済、イベントのチケット確認、公共交通機関の案内、観光地のガイド表示など、多くの場面で見かけるようになりました。

QRコード自体の解説はこちらをご参照ください

特に、コロナ禍における「非接触」ニーズの高まりもあって、QRコードはさらに多くの場面で採用されています。たとえば、飲食店のメニュー表示や決済方法、アンケートの回答など、接触を最小限に抑えつつ必要な情報にすぐアクセスできる点で利用が進んでいます。

しかし、こうした便利さの一方で、QRコードの仕組みを悪用したフィッシング詐欺やウイルス感染といったサイバー犯罪が増加傾向にあります。QRコードが一見して安全かどうかを判断するのが難しいため、意図しないリンクに誘導されたり、悪意あるソフトウェアがダウンロードされたりするリスクがあるのです。

QRコード特有のセキュリティ上の危険性

QRコードは仕組み上、テキストデータを格納できるようになっています。単なるテキストデータなので読み取った瞬間にマルウェアにかかるようなことは基本的には起こり得ません。よってQRコード自体には危険性はありません。

しかし実際には読み取ったテキストデータはURLのアクセス等に使用されるので実社会でのセキュリティ上では注意が必要です。

特にQRコードの特徴によって考えられるセキュリティ上の懸念は大きく以下の２点です。

• 一見して安全かどうか判断するのが難しい
• QRコード化されたURLにはメールフィルタが効かない

一つめの「一見して安全かどうか判断が難しい」という点を詳しく解説します。

皆様があるサイトへアクセスする際、ドメインを見て安全かどうか判断することがあるかと思います。

しかしQRコードではデータの中身が何なのか一見して判断することができないので、本来では防げた悪意あるサイトへの訪問をしてしまう可能性が高まります。

二つ目のメールフィルタについてです。通常、悪意のあるURLへのリンクがあるメールはセキュリティソフトによって弾かれます。

しかしメールフィルタは添付されているQRコードの中身までは解析しないこともあるのでメールフィルタを突破してしまうことがあります。

以上２点が特にQRコードの性質上考えられる懸念点です。

QRコードを読み取る前に、少し立ち止まって安全かどうかを確認する習慣をつけましょう。以下の点をチェックすることで、多くのリスクを回避できます。

1. 設置場所や媒体に不審な点はないか？（物理的な確認）

• 場違いな場所に貼られていないか？
  • 例：金融機関のATMに、後から付け足したような不自然なQRコード。公共の場所に、文脈と無関係なQRコードステッカー。
• QRコードの上に別のシールが貼られていないか？
  • 正規のQRコードの上に、偽のQRコードシールが重ね貼りされている場合があります。シールの端が浮いていたり、不自然な厚みがないか確認しましょう。
• 提供元は信頼できるか？
  • 公式な店舗や企業、行政機関などが提供しているQRコードか確認しましょう。街中のポスターやチラシ、差出人不明のメールやSMSに記載されたQRコードは特に注意が必要です。

2. QRコードリーダーアプリのプレビューでURLを確認する

多くのQRコードリーダーアプリには、URLなどの情報を読み取った際に、実際にアクセスする前にその内容をプレビュー表示する機能があります。

スキャンしたらすぐにアクセスせず、必ず表示されたURL全体を確認しましょう。

オンライン上で内容を確認する場合は以下のサイトがおすすめです。

無料QRコード読み取り | QR TOOL

3. 表示されたURLを慎重にチェックする

プレビュー機能や、アクセス直後にブラウザに表示されたURLが、怪しいものでないか以下の点で確認します。

HTTPSで始まっているか？

通信が暗号化されているhttps://で始まるサイトが望ましいですが、HTTPSであっても詐欺サイトは存在します。HTTPSだから安全、と安易に判断しないようにしましょう。

ドメイン名は正規のものか？

最も重要なチェックポイントです。 有名企業やサービス、金融機関などの公式サイトに見せかけた偽ドメインが使われます。

偽ドメインの例:

• スペルミス: amazon → anazon, rakuten → rakutenn など
• 無関係な単語の追加: example.com → example-security.com, bank.co.jp → bank-update.net など
• 紛らわしいトップレベルドメイン: .com や .co.jp ではなく、 .xyz, .info, .biz など、サービス内容と関連性の低いドメインが使われている場合は注意が必要です。
• 正規ドメインがサブドメインになっている: amazon.co.jp.malicious-site.com のような形式。一見 amazon.co.jp に見えても、実際は malicious-site.com の一部です。

短縮URLではないか？

bit.ly や t.co などの短縮URLは、リンク先が隠されているため、特に注意が必要です。信頼できる提供元からのものでない限り、安易にアクセスしない方が賢明です。

※あくまで短縮URLが利用されやすいだけで「bit.ly」 や「 t.co」が悪質なわけではありません

4. OSやセキュリティソフトの警告を無視しない

スマートフォンやPCのOS、セキュリティ対策ソフトが「不正なサイトの可能性があります」「危険なサイトをブロックしました」といった警告を表示した場合、絶対に無視せず、アクセスを中止してください。

5. 少しでも怪しいと感じたらスキャンしない・アクセスしない

上記のチェックポイントで少しでも「おかしいな」「怪しいな」と感じたら、そのQRコードはスキャンしない、または表示されたURLにはアクセスしないという判断が最も安全です。

では具体的にどのような場面で気をつければ良いかを解説します。

QRコードリーダーに気を付ける

1点目はQRコードリーダーです。

実際にGoogle Play上で1,000万回以上のダウンロード数があった「Barcode Scanner」にマルウェアが仕込まれるということがありました。

アプリのアップデートの際に製作者の意図せずにマルウェアが混入してしまったようで、このアプリは現在Google Play上から削除されています。

この例では広告が表示されるマルウェアであったようですが、信頼できるアプリを使用しないと読み取り内容が外部に漏れる危険性も考えられます。

できればスマートフォンでは純正のアプリを使用するようにしましょう。

純正アプリで機能が不足している場合は下記のサービスがおすすめです。

日本の会社が運営しており、ブラウザ上のみでデータを処理するので読み取り内容が漏れる心配がありません。

ブラウザでQRコードの中身を確認できるサービスはこちら

QRコードのフィッシング詐欺（Quishing: クイッシング）に気をつける

前述の通りURLをQRコード化すると人間の目では一見してデータの中身がわからないことからフィッシングサイトへの誘導に使用されることがあります。

QRコードを利用したフィッシング詐欺をQuishing（クイッシング）といいます。

Quishing（クイッシング）概要、手口、可能な対策など次以降のセクションで解説します。

QRコード詐欺、別名「クイッシング（Quishing）」は、QRコードとフィッシング（Phishing）を組み合わせた新たな詐欺手法です。

クイッシングでは、悪意のある第三者が偽のQRコードを利用して、ユーザーを詐欺サイトに誘導したり、ウイルスをインストールさせたりして、個人情報や財産を不正に取得することを目的としています。

報告急増？QRコード詐欺のクイッシング（Quishing）とは？

クイッシングの主な手口としては、以下のようなものが挙げられます：

1. 偽のQRコードへ貼り替え

偽のQRコードが、公共の掲示物や店舗、ATMなどに貼り付けられるケースです。

利用者は正規のQRコードと見分けがつきにくいため、気づかずにスキャンしてしまい、悪意のあるフィッシングサイトに誘導されることがあります。

たとえば、偽のQRコードが決済用コードの上に貼られていると、振り込んだお金が詐欺犯に直接送金される可能性もあります。

2. メールやメッセージアプリ、DMでの誘導

クイッシングのもう一つの手口として、SMSやメール、メッセージアプリ、ダイレクトメールを利用した方法があります。

見覚えのない会社や不審な内容のメッセージにQRコードが添付されており、それをスキャンすると、偽のログインページやウイルスを仕込んだサイトにアクセスさせられることがあります。

こうした詐欺手口は、公式を装うことが多いため、思わずスキャンしてしまいがちです。

3. 悪意あるアプリやウイルスのダウンロード

QRコードをスキャンした後、特定のアプリやファイルのダウンロードを促す手口もあります。

これらのアプリやファイルにウイルスが仕込まれていると、個人情報の流出やスマートフォンの遠隔操作などが行われるリスクが生じます。

以上がクイッシングの手口です。

QRコードはその内容が目に見えないため、安全かどうかを瞬時に判断することが難しく、詐欺犯に悪用されやすい特性を持っています。

QRコードを利用する際には、少しの違和感でも慎重に確認し、安全確認を徹底することが求められます。

なお、QRコードのリスクはQuishing（フィッシング詐欺）だけではありません。読み取ることで、意図せず以下のような動作を引き起こす可能性もあります。

• マルウェア（ウイルス）のダウンロードページへの誘導
• 悪意のあるWi-Fiネットワークへの自動接続
• 端末の連絡先への不正な情報登録
• 高額な料金が発生する電話番号への発信やSMS送信

これらのリスクを避けるためにも、安易にQRコードをスキャンせず、前述の安全確認を行うことが重要です。

クイッシングや不正アプリなど危険性があることがご理解いただけたかと思いますが、実生活ではQRコードを使用しないわけにはいかないと思います。

そこで個人レベルでできる対策をいくつか挙げます。

事前に読み取り内容を確認

iPhone等の内臓されているアプリでは読み取り後URLの場合、即アクセスしてしまうはずです。

怪しいQRコードが含まれる場合はiPhone等の内臓アプリで読み取る前に以下のような無料で内容確認ができるサイトで読み取ってみてください。

無料で画像からQRコードの内容確認

画像を選択するだけでQRコードの検出、中身の確認が可能です。

ウェブカメラを起動してQRコードの内容確認をする場合はこちら

URLの安全性を確認

以下のような無料で利用できるサイトの安全性確認ツールを利用してアクセスするか判断の補助に使用することもできます。

トレンドマイクロ社 ウェブサイトの安全性評価

短縮URLはアクセス禁止

QRコードに短縮URLが含まれている場合はできればアクセスを控えるのがおすすめです。

短縮URLを利用している場合、アクセス時点では本来のURLはアクセスしてみるまでわかりません。

また短縮URLの仕組み上、一度アクセスして大丈夫であった場合でも再度リダイレクト先のURLが変えることもできます。

怪しいQRコードかつ短縮URLを利用している場合はアクセスを控えることがおすすめです。

その他会社のセキュリティ担当者レベルで実行できる対策もいくつか挙げます。

WEBフィルタリングを利用

QRコードにおいては、データを読み取ってからどう扱うかがセキュリティ対策の肝になります。

前述したクイッシングがQRコードの悪用として増加傾向にあります。

フィッシングサイトに騙されないようにアクセスできるウェブをフィルタリングするのが本質的な対策となります。

WEBフィルタリングではホワイトリスト（アクセス許可リスト）形式とブラックリスト（アクセス禁止リスト）形式があるので、業務の実態に合わせて選択・導入を検討してください。

アプリやソフトのインストールを制限

会社で利用するスマートフォンではインストールするアプリを制限するのがおすすめです。

前述の通りアプリ自体にマルウェアが仕込まれているケースもあります。

またPC自体にもソフトウェアを従業員自身の判断でインストールできないような仕組みづくりが大切です。

とはいえ業務でQRコードの読み取りが必要な場合には安全にインストールできるアプリやソフトを選定して許可するのが良いでしょう。

ウイルス（マルウェア）対策ソフトの導入・更新

QRコード詐欺やクイッシングのリスクに備えるためには、ウイルス（マルウェア）対策ソフトを導入し、定期的に更新することが重要です。

ウイルス対策ソフトは、悪意あるコードがスマートフォンやPCに侵入しようとする際に検知・防御し、個人情報の流出やデバイスの不正操作を防ぐ役割を果たします。

ウイルス対策ソフトの導入や更新を行う際に押さえておきたいポイントは以下のとおりです。

1. 信頼できる対策ソフトを選ぶ

まず、信頼性の高いウイルス対策ソフトを選ぶことが重要です。無料版や体験版もありますが、機能が制限されていたり、最新の脅威に対応しきれない場合もあります。特にスマートフォン向けの対策ソフトは、認証機関やユーザーレビューで評価の高いものを選ぶと安心です。

2. 定期的な更新で最新の脅威に対応

新しいウイルスやマルウェアは日々進化しており、最新の脅威に対処するためにはソフトのアップデートが欠かせません。定期的な更新によって、新たなマルウェアへの対応能力を保持できます。自動更新を設定することで、アップデートを忘れる心配もありません。

3. スマートフォン用対策ソフトの活用

スマートフォンにも、デバイス専用の対策ソフトをインストールすることが推奨されます。スマートフォンはQRコードを読み取る機会が多いため、不正サイトにアクセスしたり、悪意あるアプリをダウンロードするリスクが高くなります。スマートフォン用の対策ソフトには、スキャン機能やブラウザ保護機能が備わっているものが多く、詐欺やウイルス感染のリスク軽減に役立ちます。

4. 不審な動きに気づいたらすぐにスキャン

万が一、QRコードをスキャンした後に不審なページが表示されたり、動作が不安定になったりした場合は、すぐに対策ソフトを用いてスキャンを行いましょう。問題が検出された場合には、ガイドに従って適切な対処を行うことが大切です。

ウイルス対策ソフトを活用し、適切なセキュリティ対策を講じることで、QRコードの悪用リスクを大幅に減らすことができます。

セキュリティ教育の実施

QRコード詐欺やクイッシングのリスクから会社を守るためには、ウイルス対策ソフトの導入や基本的な対策だけでなく、定期的なセキュリティ教育の実施が必要です。

以下に、セキュリティ教育のポイントを紹介します。

1. QRコードを利用した詐欺の手口を知る

QRコードを悪用した詐欺の実例や手口を知ることは、リスクに対する意識を高める第一歩です。例えば、偽のQRコードを使ったフィッシング詐欺やウイルス感染の具体例、過去の被害事例を共有することで、普段何気なくスキャンしているQRコードにも注意を払うようになります。

2. QRコードを利用するルールを決め周知する

「公式のアプリのみスキャンする」「見知らぬ場所に貼られたQRコードは慎重に扱う」「スキャン後、すぐに個人情報を入力しない」といったルールを周知することで、詐欺に対する耐性が高まります。

3. 定期的なテストの実施やチェックリストの活用

定期的なテストやチェックリストの活用も効果的です。特に、QRコード詐欺や不正アクセスの危険性に関する質問を盛り込み、社員が知識を正しく理解しているか確認しましょう。

4. リスクシミュレーション

リスクシミュレーションを行うことも、実践的な学習に役立ちます。例えば、フィッシング詐欺に見立てた体験学習を行い、「どのように不正なサイトを見分けるか」を実地で確認することで、現実的な意識向上を促すことができます。

5. 発生後報告演習

クイッシング等詐欺にあった場合を想定して社内の報告・対策フローを演習するのもおすすめです。実際に詐欺に遭った場合は本人は報告するのを躊躇い被害が拡大することもあります。

6. セキュリティ対策の最新情報を共有

サイバー攻撃の手口は日々進化しています。そのため、新しい詐欺手口やウイルス対策、最新の詐欺対策について情報を共有し続けることが重要です。社内のメルマガや情報共有の場を通して、セキュリティの最新情報を共有する仕組みを作りましょう。

QRコードは非常に便利な反面、Quishingをはじめとする様々なリスクも潜んでいます。

しかし、今回解説した「スキャン前の安全確認ポイント」を実践し、基本的なセキュリティ対策を怠らなければ、そのリスクを大幅に低減させることが可能です。

特に、

• 設置場所は不自然でないか
• URLは正規のものか

といった基本的な確認を習慣づけることが重要です。少しでも怪しいと感じたらスキャンしない勇気を持ち、安全にQRコードを活用していきましょう。

無料でQRコードの内容確認ができるサイトはこちらがおすすめです