QRコードセキュリティ:2026年クイッシング詐欺の見分け方と対策
2024年、QRコードを利用したフィッシング攻撃 — 「クイッシング(quishing)」として知られる手口 — が、サイバーセキュリティ企業の調査によると500%以上増加しました。2025年末までに、クイッシングはフィッシング分野で最も急速に増加している攻撃手法の一つとなりました。レストラン、駐車メーター、名刺、ビジネスネットワーキングなど、QRコードがあらゆる場面に浸透する中、そのリスクを理解することはもはや任意ではなく必須です。
クイッシングとは?
クイッシングとは、QRコードを使ったフィッシングのことです。メールやテキストメッセージに悪意のあるリンクを埋め込む代わりに、攻撃者はそのリンクをQRコードの中にエンコードします。スマートフォンでコードをスキャンすると、ブラウザで悪意のあるURLが開かれ、多くの場合、認証情報を盗むために作られた精巧な偽ログインページが表示されます。
クイッシングが効果的な理由は、QRコードが不透明だからです。ハイパーリンクであればホバーしてURLをプレビューできますが、QRコードはスキャンするまでリンク先が一切わかりません。この不透明性こそが、QRコードを便利にも危険にもしている要因です。
クイッシング攻撃の仕組み
- 物理的な上貼り:攻撃者は、駐車メーター、レストランのテーブル、公共のポスターなど、正規のQRコードの上に悪意のあるQRコードのステッカーを貼り付けます。
- メールへの埋め込み:フィッシングメールにQRコードを含めることで、URLをスキャンするテキストベースのメールセキュリティフィルターを回避します。QRコードの中身はこれらのフィルターでは読み取れません。
- 偽造名刺:LinkedInプロフィールではなく、認証情報を収集するページに誘導するQRコードが印刷された偽の名刺です。
- イベントの悪用:カンファレンスや展示会で、マルウェアのダウンロードリンクを含むQRコード付きのチラシやバッジを配布します。
問題の規模
数字は深刻です。SlashNextの2025年レポートによると、クイッシング攻撃はフィッシング攻撃全体に占める割合が2023年の0.8%から2025年には4.8%超へと6倍に増加しました。Abnormal Securityの報告では、クイッシング攻撃の89%が認証情報の窃盗を標的としており、Microsoft 365とGoogle Workspaceのログインページが最も多く偽装されています。
FBIは2024年、アメリカ全土の駐車メーターやガソリンスタンドにおけるQRコード詐欺について公式警告を発しました。イギリスでは、Action Fraudが2023年から2025年にかけてQRコード詐欺の相談件数が300%増加したと報告しています。
偽のQRコードの見分け方
QRコードを目で「読む」ことはできませんが、注意すべき危険信号がいくつかあります。
- ステッカーの上貼り:QRコードが別の面の上に貼られたステッカーのように見える場合 — 特に駐車メーター、ATM、レストランのメニュー上のものは、スキャンしないでください。正規のQRコードは通常、直接表面に印刷されています。
- 予期しない場面:一方的に送られてきたメール、テキストメッセージ、チラシ内のQRコードには警戒してください。正規の企業が「アカウントの確認」や「賞品の受け取り」のためにQRコードのスキャンを求めることはまれです。
- URLの不一致:スキャン後、タップする前にURLを確認してください。LinkedInの名刺にあったQRコードなのにURLに
linkedin.comが含まれていない場合は、先に進まないでください。 - 短縮URL:bit.ly、tinyurlなどのURL短縮サービスに解決されるQRコードには注意が必要です。これらは本当のリンク先を隠します。正規のプロフェッショナルなQRコードは、ターゲットに直接リンクしています。
- 印刷品質の低さ:ぼやけている、中心がずれている、サイズが不自然なQRコードが、それ以外はプロフェッショナルな資料に印刷されている場合、改ざんの可能性を示しています。
自分自身を守る方法
1. クリックする前にプレビューを確認
最新のスマートフォンカメラの多くは、QRコードにかざすとURLのプレビューを表示します。タップする前にURLをよく読みましょう。スペルミス(linkedin.comではなくlinkedln.comなど)、見慣れないドメイン、不審なパスがないか確認してください。
2. セキュリティ機能付きQRスキャナーを使用
一部のQRスキャナーアプリは、URLを開く前に既知のフィッシングデータベースと照合してチェックします。Kaspersky QR ScannerやNorton Snap(またはiOS 17以降やAndroid 14以降の内蔵カメラアプリ)は、URLプレビューと基本的な安全性チェックを提供しています。
3. スキャン後にログイン情報を入力しない
QRコードでログインページに遷移した場合は、入力を止めてください。代わりにブラウザやアプリから直接そのサービスを開きましょう。正規のLinkedIn QRコードは公開プロフィールページに誘導するもので、ログインを求めることは決してありません。
4. 物理的なQRコードを確認
店舗や施設にいる場合は、スタッフにQRコードが正規のものか確認しましょう。イベントでは、公式資料のQRコードのみをスキャンし、出所不明のチラシやハンドアウトのものは避けてください。
5. スマートフォンを最新の状態に保つ
iOSとAndroidは、悪意のあるWebサイトを通じて悪用される可能性のあるセキュリティ脆弱性を定期的に修正しています。スマートフォンのOSとブラウザを最新に保つことは、基本的ながら重要な防御策です。
LinkedIn QRコードが安全な理由
すべてのQRコードが同じリスクを持つわけではありません。当サイトの無料ジェネレーターのようなツールで生成されたLinkedIn QRコードには、いくつかのセキュリティ上の利点があります。
- 直接URL:QRコードは
linkedin.com/in/your-profileに直接リンクしており、リダイレクト、URL短縮、トラッキングピクセルは一切ありません。 - 認識しやすいリンク先:スキャンした人はプレビューに
linkedin.comのURLが表示されるため、簡単に確認できます。 - データ収集なし:静的QRコード(当サイトのもの)はサードパーティのサーバーを経由しません。URLはQRパターンに直接エンコードされています。
- クライアントサイド生成:LinkedIn URLは生成中にブラウザから一切外部に送信されません — 侵害されるサーバーが存在しないのです。
- 視覚的な信頼シグナル:LinkedInロゴが埋め込まれたQRコード(当サイトのもの)は、リンク先について即座に視覚的な手がかりを提供します。
QRコードセキュリティチェックリスト
| 確認項目 | 安全 | 要注意 |
|---|---|---|
| URLプレビュー | 想定されるドメインが表示される | 不明またはスペルミスのあるドメイン |
| 物理的な設置 | 素材に直接印刷されている | 既存のコードの上にステッカー |
| リンク先 | 公開ページや情報 | ログインページやダウンロード |
| URL形式 | 直接リンク | URL短縮サービス |
| 状況 | 予想される場所 | 一方的なメールやチラシ |
まとめ
QRコードそのものは危険ではありませんが、本質的に不透明です。ネットワーキングに便利な同じ特性が、攻撃者にとっても魅力的なのです。防御策はシンプルです。クリックする前にプレビューを確認し、URLを検証し、QRスキャンで遷移したページでは決してログイン情報を入力しないこと。自分のQRコードを作成する際は、中間サーバーを介さない直接的で透明なURLを生成するツールを使いましょう — 当サイトのLinkedIn QRコードジェネレーターのように。