Quishing(クイッシング)は従来のphishingの変形版です。メール内の偽リンクの代わりにQR Codeを使います。詐欺師は本物のQR Codeの上に悪意のあるQR Codeを印刷して貼り付け、あなたが何も考えずにスキャンするのを待ちます。被害者は偽の決済ページ、ログインページ、またはアプリインストールページへリダイレクトされます。

なぜこれほど増えているのか?それはQR Codeが生活の習慣になったからです。レストランのメニュー、駐車場、銀行の領収書、バス停など至る所で使われています。その習慣こそが詐欺師にとっての肥沃な土台でした。2024年と2025年のレポートによると、quishing攻撃は2年間で300%以上増加しており、多くの人はまだこの詐欺の存在を知りません。


🔍 詐欺の仕組み

Quishingには3つのシンプルなステップがあります。

  1. QR Codeのすり替え。 犯罪者が偽QRコードのステッカーを印刷し、本物の上に貼り付けます。駐車場のパーキングメーター、紙のメニュー、印刷された領収書、あるいはキャンペーンポスターの上にも貼られます。
  2. 見えないリダイレクト。 スキャンするとスマートフォンがURLを開きます。そのページは銀行、駐車場サービス、または本物のサービスと全く同じように見えます。
  3. データ窃取または不正決済。 正しいサービスに支払っていると思い込んでIDナンバーやパスワードを入力したり、支払いを行ったりします。お金は詐欺師の口座に消えます。

攻撃が多発する場所

  • 駐車場のパーキングメーターとコインパーキング
  • レストランのテーブル(メニュー・決済用QR)
  • 第三者が印刷したQR付きの紙の領収書
  • 電気自動車の充電スタンド
  • 実店舗の「アプリをダウンロード」ポスター

残酷な現実:スマートフォンはごく小さなURLを表示し、多くの人は「続ける」をタップする前にそれを読みません。


🛡️ 自分を守る方法

どんなQR Codeをスキャンする前にも、次の習慣を徹底しましょう。

行動する前にURLを確認する

スキャン後、開く前に完全なアドレスを読むようにしましょう。bank-secure.apppayment.linkのようなドメインは公式サイトではありません。必ずドメインが企業の既知の公式アドレスと一致しているか確認してください。

出所が疑わしいQR Codeでの支払いに注意する

  • WhatsAppやメールで受け取った紙切れに印刷されたQR Codeで絶対に支払いをしないでください。
  • 駐車場のQRを使う場合は、ステッカーが無傷か確認しましょう。気泡、傷、重なりがないかチェックします。
  • 銀行アプリ内で自分の決済用QRを生成することを優先しましょう。

未知のQR Codeでアプリをダウンロードしない

「アプリをダウンロード、ここをスキャン」というポスターは格好の攻撃手段です。会社名を入力してGoogle PlayストアやApp Storeで直接アプリを検索することを優先してください。

ステッカーを物理的に確認する

駐車場のメーターやレストランのテーブルでは、ステッカーの角をめくってみることをお勧めします。正規のQR Codeは通常、機器や公式スタンドに直接印刷されています。ステッカーの上にステッカーは要注意のサインです。

リンクプレビューを使う

ほとんどのAndroidおよびiOSカメラアプリは、開く前にURLを表示します。その画面を絶対にスキップしないでください。これが最初の防衛線です。

関連記事:QRコードは安全?知っておくべきことで日常的なQRコード使用の一般的なリスクを理解しましょう。


🏢 企業向け情報

実店舗でQR Codeを使用している場合、顧客を守る責任もあなたにあります。

動的QR Codeを使う

動的QR Codeを使えば、コードを再印刷せずに目的地を変更できます。誰かがあなたのQRの上に偽のQRを貼り付けた場合、元のコードをすぐに無効化またはリダイレクトして、アクセスを追跡できます。

Code2Scanの動的QR Codeジェネレーターを使えば、宛先URLを制御し、日付・時刻・場所別にスキャンを監視し、あなたのQRがクローンされた可能性を示す異常なアクセス急増を検出できます。

スキャンを監視する

正規のレストランQR Codeには使用パターンがあります。昼食と夕食の時間帯、平日と週末。深夜3時や異なる都市からのスキャンが確認された場合、何かがおかしいです。analyticsダッシュボードを使って異常を検出しましょう。

条件付きリダイレクトの設定方法をご覧ください。営業時間外のアクセスをブロックするために役立ちます。

必要に応じてパスワードで保護する

アクセス制限が必要なQR Code(内部文書、人事フォーム、イントラネットリンクなど)にはパスワード保護付きQR Codeを使用してください。これにより、スキャンされても認証情報なしにはコンテンツへアクセスできません。

オリジナルの素材と封印されたものを使う

  • QR Codeは耐久性の高い紙またはラミネート加工紙に印刷する。
  • 固定された縁やネジ付きのスタンドを使用する(重ね貼りが困難になる)。
  • 毎週、各販売ポイントのQR Codeを物理的に点検する。
  • QRの中央に会社のロゴを含めることを検討する(差し替えが視覚的に分かりやすくなる)。

❌ 詐欺を助長する一般的なミス

  • URLを読まずにスキャンする — 最も多い失敗。プレビューがあるのだから使いましょう。
  • ページの見た目を信頼する — 偽ページはほぼ完璧なコピーです。
  • 「ここでは起きない」と思う — quishing攻撃は世界中で増えています。
  • カメラアプリを更新しない — 古いバージョンはプレビューなしにURLを直接開く場合があります。
  • QR CodeをWhatsAppで写真共有する — 受取人には元の出所が分かりません。
  • 自社QRを監視しない企業 — analyticsなしでは、コードが不正利用されているかどうか分かりません。

顧客の体験と安全を損なうQRコード使用の一般的なミスも避けましょう。


📋 まとめ

  1. Quishing = 本物のQR Codeの上に貼られた偽QR Codeを使ったphishing。
  2. 詐欺は駐車場、レストラン、領収書、ポスターで発生します。
  3. 行動する前に、スマートフォンに表示される完全なURLを読む
  4. 出所不明のQR Codeで絶対に支払いをしない。
  5. QR CodeでアプリをDLしない — 公式ストアを使う。
  6. 重なっているステッカーがないか物理的に確認する。
  7. 企業は攻撃を検出するために監視機能付き動的QRを使うべきです。
  8. 機密コンテンツはパスワード保護付きQR Codeで守りましょう。

あなたが管理する動的QR Codeを作成する — スキャンをリアルタイムで監視し、再印刷せずに宛先を変更し、Code2Scanでquishingから顧客を守りましょう。

シンプルで手軽なQRが必要な場合は、無料QR Codeジェネレーターをご利用ください。