この記事でわかること
- ✓クイッシングとは偽QRコードで詐欺サイトへ誘導し、個人情報やお金を騙し取る手口
- ✓駐車場・飲食店・宅配メールなど、身近な場所に偽コードが仕掛けられるケースが増加
- ✓読み取り前にURLを確認する・公式サイトで検索するなど数秒の確認で被害を防げる
レストランのテーブルにあるQRコード、駅の広告、宅配の不在通知——これらすべてが詐欺の入口になりうることをご存じですか?QRコードを使った詐欺「クイッシング(Quishing)」が急増しています。手口と見分け方を知っておきましょう。
1. クイッシングとは何か
クイッシングとは、QRコード(QR Code)+フィッシング(Phishing)を組み合わせた造語です。偽物のQRコードをステッカーや印刷物で本物に貼り替えたり、メールやSMSに埋め込んだりして、被害者を詐欺サイトへ誘導する攻撃手法です。
従来のフィッシング詐欺はURLの偽装が中心でしたが、QRコードは読み取るまで内容が見えないため、フィルタリングや目視確認が難しく、攻撃者に悪用されやすい特性があります。
被害の実態:IPA(情報処理推進機構)は2023年以降、QRコードを使った詐欺への注意喚起を継続して発信しています。駐車場・飲食店・公共施設など、日常の至るところで被害報告が増加しています。
2. 主な手口と実例
クイッシングはさまざまな場所・形式で仕掛けられます。代表的な手口を把握しておくことが防御の第一歩です。
- 駐車場の精算機・看板への貼り付け:本物のQRコードの上に偽コードのステッカーを貼って決済詐欺に誘導
- 宅配不在通知の偽SMS:再配達QRコードのふりをして、クレジット情報や個人情報を窃取する
- 飲食店メニューQRの貼り替え:テーブルのQRコードを偽物に差し替えてマルウェアサイトへ誘導
- 公共Wi-FiのQR:偽のWi-Fi接続QRで通信傍受を行う
- メール・DMのQRコード:「当選しました」「アカウントが停止されます」などを装って緊急性を演出
3. 読み取り前に確認する3つのポイント
QRコードを読み取る前の数秒の確認で、被害を防げます。
- 物理的なコードの確認:ステッカーが貼り付けられていないか。印刷物の上に「浮いている」コードは要注意
- 読み取り後のURLプレビューを確認:スマートフォンのカメラアプリは読み取り後にURLを表示します。タップする前にドメインを確認し、見知らぬURLには注意
- 公式サイトで検索して確認:「〇〇 公式サイト」で検索し、正規のURLと比較する
危険なサイン:読み取り後にIDやパスワード、クレジットカード番号の入力を求められたら、まず詐欺を疑ってください。正規サービスが突然QRコード経由で機密情報を求めることはほとんどありません。
4. 自分でQRコードを作るときも注意を
お店のメニューや名刺にQRコードを使う場合は、信頼できるツールで生成し、リンク先のURLが正しいことを定期的に確認しましょう。また、生成したQRコードは必ず実際にスキャンして動作を確認してください。
まとめ
QRコードは便利な技術ですが、その「中身が見えない」という特性が詐欺に悪用されています。読み取り前にコードの外観を確認し、URLプレビューをチェックする——この習慣が自分を守る最も確実な方法です。日常の中に潜むリスクを知ることが、クイッシング被害を防ぐ第一歩になります。