QR Reader
なぜ「QRコードを読む」だけで危険なのか
2025-11-18
QRコードは「中身が見えないリンク」
URLを手入力していた時代なら、怪しいドメインに気づけた。 QRコードはその判断機会をスキップさせる。
2023年以降、QRコード経由のフィッシング(通称:クイッシング)被害が急増している。
実際に起きていること
| 手口 | 内容 |
|---|---|
| 正規QRの上から貼り替え | 駐車場の支払い機、シェアサイクルなど |
| メールのQRコード | Microsoft 365 のログインを装った偽ページへ誘導 |
| 飲食店のメニューQR | リダイレクト先がフィッシングサイト |
| 公共Wi-Fi接続のQR | 通信を傍受する偽アクセスポイントへ誘導 |
共通点:見た目では本物と偽物の区別がつかない。
「読む」と「開く」を分ける
スマホカメラは「読む」と「開く」が一体化している。これが事故の原因。
| 操作 | リスク |
|---|---|
| 読み取る → URLを確認 → 開く | 低い |
| 読み取る → そのまま開く | 高い |
やること:URLを目視してから開く。これだけ。
確認ポイント
| ポイント | 確認内容 |
|---|---|
| ドメイン | 正規か(amazon.co.jp vs amaz0n-login.com) |
| 短縮URL | bit.ly 等 → 展開してから判断 |
| サブドメイン | login.bank.example.com.evil.site のようなパターン |
| 見慣れないドメイン | アクセスしない |
端末ごとの安全な読み取り方
iPhone
カメラでQRコードを映すと、画面上部にURLプレビューが出る。タップしなければ開かない。 URLを確認してから判断。
Android
Google レンズまたはカメラで読み取り、表示されるURLを確認。自動で開く設定になっている場合は、設定からオフにする。
PC
PCでQRコードを読み取る場面は少ないが、ブラウザ拡張やWebサービスで読み取る場合は、URLをコピーして目視確認してからアクセスする。
QR Reader なら、読み取り結果をテキストで表示するだけ。自動で開かない。
読み取ったあとの即決ルール
| 状況 | 判断 |
|---|---|
| URLのドメインを知っている | 開いてOK |
| 短縮URLで中身がわからない | 展開ツールで確認 |
| ログインを求められた | QRからは入力しない。直接サイトに行く |
| アプリのインストールを促される | 公式ストアから手動で検索 |
| 迷った | 開かない。手動でURLを入力 |
もう開いてしまった場合
- 個人情報・パスワードを入力した → すぐにパスワード変更。二段階認証を有効に
- ページを開いただけ → ブラウザを閉じる。通常はそれだけで問題ない
- アプリをインストールした → 即アンインストール。不審な挙動があればウイルススキャン
- Wi-Fiに接続した → 即切断。接続中にログイン操作をしていたらパスワード変更
まとめ
- QRコードは「中身の見えないリンク」と同じ
- 「読む」と「開く」を分ける。URLを確認してからタップ
- 迷ったら開かない。手動でURLを入力する方が安全
関連記事
- QRコードを読み取る前に確認すべきこと — 判断基準まとめ
- QRコードが読み取れない時の対処法 — トラブルシューティング