店頭の案内、チラシ、宅配物、駐車場の精算機など、QRコードをスマホで読み取る場面は日常的に増えています。しかし、QRコードは見た目だけではリンク先が分かりにくく、偽サイトへ誘導する詐欺に悪用されることがあります。
- QRコード詐欺(クイッシング)の基本的な手口
- 店頭・チラシ・宅配物のQRコードを読む前後に確認したいポイント
- ログイン画面や決済画面が出たときの安全な止まり方
こんな方におすすめの記事です
- 店頭やチラシのQRコードをよくスマホで読み取る方
- QRコードを読んだあと、ログイン画面や決済画面が出て不安になったことがある方
- 家族や高齢の親にスマホ詐欺の注意点を伝えたい方
本記事では、QRコード詐欺の手口と、読み取る前・開く前・入力前に確認したい対策をわかりやすく解説します。(専門知識は不要です!)
⚠️ QRコードそのものを怖がりすぎる必要はありません
正規のQR決済、行政サービス、店舗案内、公式アプリのQRコードまで危険という意味ではありません。大切なのは、QRコードを読み取ったあとに表示されるURL、ログイン画面、決済画面、個人情報入力画面をそのまま信用しないことです。
QRコード詐欺とは?クイッシングの基本を知っておこう
QRコード詐欺とは、QRコードを読み取らせて偽サイト、偽ログイン画面、不正決済ページなどへ誘導する詐欺のことです。英語では「Quishing(クイッシング)」と呼ばれ、QRコードとフィッシングを組み合わせた言葉として使われます。
フィッシングは、実在する企業やサービスを装って偽サイトへ誘導し、ID、パスワード、クレジットカード情報、住所、氏名、電話番号などを入力させる手口です。警察庁も、フィッシングでは本物そっくりのログイン画面や支払いページを使い、利用者の情報を盗む事例があると注意喚起しています。詳しくは警察庁のフィッシング対策ページでも確認できます。
QRコード詐欺はQRコードから偽サイトへ誘導するフィッシングの一種
メールやSMSのフィッシングでは、本文中のURLをタップして偽サイトへ誘導されることが多くあります。一方、QRコード詐欺では、紙や看板、宅配物、店頭掲示などにあるQRコードをスマホで読み取ることが入口になります。
QRコードを読み取ったあと、次のような画面が表示された場合は注意が必要です。
- 有名サービスに似たログイン画面
- クレジットカード番号や暗証番号を求める画面
- キャンペーン応募として住所・氏名・電話番号を入力させる画面
- アプリのインストールを急がせる画面
- 支払い先や金額が分かりにくい決済画面
特に、ログインや決済を急がせる表示が出たときは、そのまま進めず一度止まることが大切です。
QRコードは見た目だけではリンク先が分かりにくい
QRコード詐欺が厄介なのは、QRコードの見た目からリンク先を判断しにくい点です。URLであれば、ドメイン名や文字列の違和感に気づけることがあります。しかしQRコードは、白黒の模様を見ただけでは、どのサイトに飛ぶのかほとんど分かりません。
JSSEC(日本スマートフォンセキュリティ協会)は、QRコードを用いた詐欺について、QRコード自体は見た目でリンク先を判断しにくく、偽サイトへ誘導されても気づきにくい点を課題として挙げています。2026年5月18日に公開されたスマートフォン利用シーンに潜む脅威 TOP10 2026でも、QRコードを用いた詐欺(クイッシング)は第3位に挙げられています。
💡 QRコードは「中身が見えない封筒」に近いもの
QRコードは、見た目だけでは中に何が書かれているか分からない封筒のようなものです。封筒の表に有名企業の名前が書かれていても、中身まで本物とは限りません。だからこそ、封筒を開けたあと、つまりQRコードを読み取ったあとの表示内容を確認することが重要です。
2026年に注意したいスマホ詐欺として扱われている
QRコードは、QR決済、店舗での注文、ログイン、各種手続き、キャンペーン応募、イベント入場など、さまざまな場面で使われています。便利な一方で、「その場で読み取るのが自然」という状況が増えるほど、詐欺に悪用される可能性も高まります。
たとえば、店頭に貼られたQRコードや、宅配物に入っていた案内を見たとき、多くの人は「この場所にあるなら本物だろう」と考えがちです。しかし、QRコードが差し替えられていたり、偽のチラシが入っていたりすると、見た目だけで判断するのは難しくなります。
QRコードを使うこと自体が危険なのではありません。大切なのは、「QRコードを読んだあとに何を確認するか」です。
店頭・チラシ・宅配物で起きやすいQRコード詐欺の手口
QRコード詐欺は、メールやSMSのようにスマホ画面の中だけで起きるとは限りません。むしろ、店頭掲示、チラシ、宅配物、駐車場精算機など、現実の場所にあるQRコードから始まる点が特徴です。
正規のQRコードの上に偽物を貼る手口
店頭のポスター、テーブル注文用の案内、駐車場精算機、イベント会場の掲示などには、QRコードが貼られていることがあります。ここで注意したいのが、正規のQRコードの上に偽物のQRコードシールを貼る手口です。
利用者から見ると、掲示物そのものは本物に見えます。そのため、上から貼られたQRコードだけが偽物でも、気づかず読み取ってしまう可能性があります。
読み取る前に見たいポイント
- QRコード部分だけが別シールで上貼りされていないか
- 周囲の案内文とQRコードの内容が自然につながっているか
- 店舗名・サービス名・公式アプリ名が明記されているか
- 不安な場合、店員や管理者に確認できる場所か
もちろん、シールで貼られているQRコードがすべて危険というわけではありません。店舗側が後から正規のQRコードを貼り直すこともあります。ただし、違和感がある場合は、読み取る前に確認する習慣を持つと安全です。
チラシ・宅配物・キャンペーン案内を装う手口
チラシや宅配物の案内にQRコードが印刷されている場合もあります。たとえば、キャンペーン応募、再配達手続き、会員登録、特典受け取りなどを装い、QRコードから偽サイトへ誘導する形です。
特に、次のような内容は注意して確認しましょう。
- 「今すぐ登録しないと特典が失効します」
- 「未払い料金があります」
- 「配送手続きが停止しています」
- 「本人確認が必要です」
- 「カード情報を再登録してください」
警察庁も、フィッシングでは「不正アクセス検知」「取引の停止」など、切迫感をあおってログインさせようとする文面が使われると説明しています。QRコード詐欺でも、同じように焦らせる表現が使われる可能性があります。
QRコード先で偽ログイン・偽決済・不正アプリに誘導される
QRコードを読み取ったあとに起きやすい誘導は、大きく分けると次の4つです。
偽ログイン画面
有名サービスや金融機関、通販サイトなどに似せた画面で、IDやパスワードを入力させる手口です。
偽決済ページ
支払い手続きや再登録を装い、クレジットカード番号、暗証番号、認証コードなどを入力させる手口です。
個人情報入力フォーム
キャンペーン応募や本人確認を装い、氏名、住所、電話番号、生年月日などを入力させる手口です。
偽アプリのインストール
サービス利用や荷物確認を装って、不審なアプリを入れさせる手口です。
JSSECの広がるQRコード詐欺(クイッシング)と対策でも、偽アプリのインストール、偽のサポート連絡先、Wi-Fiネットワーク詐欺、イベントチケットの偽造など、QRコードを悪用した複数の手口が紹介されています。
読み取る前・開く前・入力前に確認したいポイント
QRコード詐欺を防ぐには、「本物か偽物かを一目で見抜こう」と考えるよりも、段階ごとに止まるポイントを決めておく方が現実的です。
おすすめは、読み取る前・開く前・入力前の3段階で確認する方法です。
読み取る前は「出どころ」と「貼り替えの違和感」を見る
まず確認したいのは、そのQRコードがどこにあるものかです。公式の店内掲示、店舗スタッフから直接案内されたもの、公式アプリ内に表示されたものなど、出どころがはっきりしているQRコードは比較的確認しやすいといえます。
一方で、次のような場合は慎重に扱いましょう。
- 誰が設置したか分からない掲示物に貼られている
- QRコード部分だけが不自然に上貼りされている
- チラシの提供元がはっきりしない
- 「無料」「特典」「未払い」「停止」など、急がせる言葉が強い
- 問い合わせ先や公式サイト名が書かれていない
出どころが分からないQRコードは、読み取らない判断も大切です。JSSECも、出所が不明なQRコードは安全性の確認が難しく、利用を控えることを推奨しています。
開く前はスマホに表示されたURLやサイト名を確認する
スマホのカメラでQRコードを読み取ると、多くの場合、画面上にリンク先のURLやサイト名が表示されます。すぐに開かず、まず表示内容を確認しましょう。
ただし、URLがそれらしく見えても安全とは限りません。偽サイトでは、正規サイトに似たドメイン名や、紛らわしい文字列が使われることがあります。
⚠️ httpsで始まるだけでは本物とは限りません
URLが「https://」で始まると通信は暗号化されていますが、そのサイト自体が本物である保証にはなりません。正規サイトに似せた偽サイトでもhttpsが使われることがあります。公式アプリやブックマーク済みの公式サイトから確認することが重要です。
特に、短縮URL、見慣れない海外ドメイン、不自然に長いURL、サービス名に似ているだけのURLには注意しましょう。
入力前は公式アプリ・公式サイトで同じ手続きができるか確認する
QRコード先でログイン、決済、本人確認、カード情報入力などを求められた場合は、その画面で入力せず、公式アプリや公式サイトから確認しましょう。
警察庁も、フィッシング対策として、メールやSMS内のリンクを安易にクリックせず、あらかじめ公式サイトをブックマークしたり、公式アプリを活用したりして正しいサイトへ接続するよう案内しています。QRコードの場合も、考え方は同じです。
たとえば、通販サイトの再ログインを求められた場合は、QRコード先ではなく、普段使っている公式アプリを開いて通知や注文履歴を確認します。決済や会員情報の再登録を求められた場合も、公式アプリ・公式サイトに同じ案内があるかを確認してから判断します。
ログインや決済を求められたときの安全な止まり方
QRコード詐欺で特に危険なのは、読み取った先でログイン情報や決済情報を入力してしまうことです。見た目が本物に似ていても、その場で入力しない習慣を持つだけで、被害をかなり避けやすくなります。
ログイン画面が出たら、その場でID・パスワードを入れない
QRコード先で突然ログイン画面が表示された場合は、いったん手を止めましょう。特に、銀行、クレジットカード、通販サイト、SNS、携帯電話会社、宅配業者を装う画面では注意が必要です。
次のような画面が出たら、その場で入力しないことをおすすめします。
- アカウント停止を解除するためログインしてください
- 本人確認のためIDとパスワードを入力してください
- 未払い料金を確認するためログインしてください
- 配送手続きを完了するためログインしてください
- キャンペーン特典を受け取るため会員情報を更新してください
ログインが必要に見える場合でも、公式アプリやブックマーク済みの公式サイトから入り直すのが安全です。ログイン情報の使い回しをしている場合は、1つのサービスで盗まれた情報が別のサービスにも悪用されるおそれがあります。ログイン対策を詳しく見直したい場合は、パスキーでログイン情報の悪用リスクを減らす方法もあわせて確認してください。
決済画面が出たら、支払い先・金額・公式アプリを確認する
QRコードを読み取った先で、クレジットカード番号、セキュリティコード、暗証番号、認証コード、QR決済の承認などを求められた場合も注意が必要です。
正規の支払いであっても、支払い先、金額、サービス名を確認せずに進めるのは危険です。とくに、次のような場合は一度止まりましょう。
- 支払い先の名前が店舗名やサービス名と一致しない
- 金額が表示されない、または説明と違う
- カード情報の再入力を求められる
- QRコードを読んだだけなのに、支払い完了を急がされる
- 公式アプリではなくブラウザ上の見慣れない画面で決済させられる
消費者庁は、なりすましECサイトについて、表示URLが正規サイトと一致しているか、事業者情報や連絡先、支払い方法などを確認するよう案内しています。QRコード先が通販やキャンペーンページだった場合も、消費者庁のインターネット通販トラブルの注意点を参考に、手続き前に確認しましょう。
「急いで」「今だけ」「停止される」はいったん止まる合図
詐欺では、利用者を焦らせる表現がよく使われます。冷静に確認されると困るため、「今すぐ操作しないと損をする」「放置すると停止される」と感じさせるのです。
⚠️ 急がせる画面ほど、いったん閉じて確認しましょう
「本日限り」「アカウント停止」「未払い」「本人確認が必要」「今すぐ支払い」などの表示が出たら、その場で入力せず、公式アプリや公式サイトから同じ案内があるか確認してください。
本当に重要な手続きであれば、公式アプリや公式サイト、正規の問い合わせ窓口から確認できることが多いです。QRコード先の画面だけを見て判断しないことが、QRコード詐欺対策の基本です。
読み取ってしまった・入力してしまった場合の対処法
QRコードを読み取ってしまった場合でも、すぐに被害が確定するわけではありません。大切なのは、どこまで操作したかを分けて、必要な対処を早めに行うことです。
読み取っただけなら、入力やインストールをせず閉じる
QRコードを読み取ってページを開いただけで、ID、パスワード、カード情報、個人情報を入力していない場合は、まずページを閉じましょう。不審なアプリのインストール、不明な通知の許可、ファイルのダウンロードも避けてください。
その後、必要に応じて次の点を確認します。
- 怪しいページをブックマークしていないか
- 通知の許可をしていないか
- 不明なアプリをインストールしていないか
- 同じQRコードを家族が読み取っていないか
読み取っただけの段階では、慌てて不要な操作を増やさないことが大切です。
ID・パスワードを入力したら、公式サイトから変更する
偽サイトの可能性がある画面にIDやパスワードを入力してしまった場合は、すぐに公式サイトや公式アプリからパスワードを変更しましょう。警察庁も、フィッシングサイト等に普段使っているIDやパスワードを入力してしまった場合は、そのIDやパスワードを利用している全てのサービスで速やかに変更するよう案内しています。
特に、同じパスワードを複数サービスで使っている場合は、被害が広がるおそれがあります。通販サイト、SNS、メール、銀行、クレジットカード、携帯電話会社など、同じ組み合わせを使っているサービスがないか確認してください。
SMSやメールから偽サイトに誘導される手口もあわせて知っておくと、QRコード詐欺との違いを理解しやすくなります。詳しくはSMSから偽サイトへ誘導される手口もあわせて確認するをご覧ください。
カード情報や決済情報を入れたら、カード会社・サービス会社に連絡する
クレジットカード番号、セキュリティコード、暗証番号、ワンタイムパスワード、決済アプリの認証情報などを入力してしまった場合は、カード会社やサービス提供会社へ早めに連絡してください。
警察庁は、フィッシングによって不正送金やクレジットカードの不正利用被害に遭った場合、被害に遭ったサービスを提供している会社に相談するよう案内しています。また、フィッシングサイトを発見した場合や被害に遭った場合は、警察への通報・相談も案内されています。
入力してしまったときの初動チェック
- 公式アプリ・公式サイトからパスワードを変更する
- 同じID・パスワードを使っている他サービスも変更する
- カード情報を入力した場合はカード会社へ連絡する
- 決済履歴・利用明細・ログイン履歴を確認する
- 不審なサイトURLや画面のスクリーンショットを保存する
- 必要に応じて警察や相談窓口に連絡する
被害に気づいたときは、恥ずかしさや不安から放置せず、まずサービス提供会社に連絡することが大切です。
家族や高齢者に伝えたいQRコード詐欺の注意ルール
QRコード詐欺の対策は、細かいURL判定を覚えるよりも、家族で共有しやすいルールにする方が続けやすくなります。特に高齢の家族には、難しい専門用語よりも「どの場面で止まるか」を伝えるのがおすすめです。
「QRを読んだあとにログイン・支払いが出たら相談」を合言葉にする
家族に伝えるなら、まずは次の合言葉だけでも十分です。
⚠️ 家族で共有したい合言葉
QRコードを読んだあとに、ログイン・支払い・カード入力・本人確認が出たら、その場で進めず相談する。
このルールなら、URLの細かい見分け方が分からなくても実践できます。特に、銀行、カード会社、通販サイト、宅配業者、携帯電話会社を名乗る画面では、すぐに入力せず確認するよう伝えておくと安心です。
店頭・チラシ・宅配物のQRコードは「公式アプリで確認」を基本にする
店舗やチラシのQRコードをすべて避ける必要はありません。ただし、ログインや決済が必要な場面では、QRコード先ではなく公式アプリや公式サイトから確認する習慣を持つと安全です。
たとえば、配送に関する案内なら、宅配会社の公式アプリや公式サイトから追跡番号を確認します。通販サイトの案内なら、普段使っている公式アプリから注文履歴や通知を確認します。携帯電話会社や金融機関を名乗る画面なら、QRコード先ではなく公式アプリに入り直します。
スマホ全体の安全設定もあわせて見直したい場合は、スマホ全体のセキュリティ対策も見直すと、QRコード詐欺以外の基本対策も整理できます。
不安なときの相談先をメモしておく
詐欺対策では、「困ったときに誰へ相談するか」を決めておくことも大切です。特に、焦らせる画面が出たときは、その場で一人で判断すると進めてしまいやすくなります。
家族で次のような相談先をメモしておくと、いざというときに落ち着いて対応できます。
- 家族の相談相手
- 利用しているカード会社の連絡先
- 銀行や決済サービスの公式窓口
- 携帯電話会社の公式サポート
- 消費者ホットライン「188」
- 最寄りの警察署やサイバー犯罪相談窓口
QRコード詐欺は、早めに気づいて止まるほど被害を防ぎやすくなります。家族で「止まる場面」と「相談先」を共有しておきましょう。
よくある質問(FAQ)
QRコードを読み取っただけで被害に遭いますか?
多くの場合、QRコードを読み取っただけで直ちに金銭被害になるわけではありません。ただし、リンク先でID・パスワード・カード情報を入力したり、不審なアプリをインストールしたりすると危険です。読み取ったあとに不自然な画面が出た場合は、入力せず閉じてください。
httpsで始まるURLなら安全ですか?
httpsは通信が暗号化されていることを示すものですが、サイト自体が本物である保証にはなりません。偽サイトでもhttpsが使われることがあります。公式アプリやブックマーク済みの公式サイトから確認することが重要です。
QR決済は使わない方がいいですか?
正規のQR決済や公式アプリ自体を避ける必要はありません。大切なのは、読み取り先、支払い先、金額、公式アプリとの一致を確認することです。少しでも不自然な場合は、その場で支払わず店舗や公式窓口に確認しましょう。
チラシや宅配物のQRコードは全部疑うべきですか?
すべてを危険視する必要はありません。ただし、QRコード先で個人情報、ログイン情報、カード情報、決済を求められた場合は一度止まり、公式サイトや公式アプリから同じ案内があるか確認してください。
家族には何を最初に教えればいいですか?
まずは「QRコードを読んだあとに、ログイン・支払い・カード入力が出たら、その場で進めず相談する」と伝えるのがおすすめです。細かいURL判定よりも、止まる場面を決めておく方が実践しやすくなります。
まとめ:QRコード詐欺は読み取ったあとに止まれるかが大切
この記事では、QRコード詐欺(クイッシング)の手口と対策について解説しました。
- QRコード詐欺は偽サイトへ誘導するフィッシングの一種です:QRコードを読み取らせ、偽ログイン画面や偽決済ページへ誘導する手口があります。
QRコードは見た目だけではリンク先が分かりにくいため、読み取ったあとの画面確認が重要です。
- 店頭・チラシ・宅配物・駐車場精算機など日常の場面でも注意が必要です:現実の場所にあるQRコードでも、貼り替えや偽案内の可能性があります。
QRコード部分だけが不自然に貼られていないか、提供元がはっきりしているかを確認しましょう。
- ログインや決済が出たら公式アプリ・公式サイトで確認しましょう:QRコード先でID、パスワード、カード情報を入力する前に、必ず一度止まることが大切です。
普段使っている公式アプリやブックマーク済みの公式サイトから入り直すと、偽サイトに入力してしまうリスクを減らせます。
- 入力してしまった場合は早めに対処しましょう:パスワード変更、カード会社への連絡、決済履歴の確認、警察や相談窓口への相談を状況に応じて行います。
不審なサイトURLや画面のスクリーンショットを残しておくと、相談時に状況を説明しやすくなります。
- 家族には「ログイン・支払いが出たら止まる」と伝えましょう:細かいURLの見分け方よりも、止まる場面を決めておく方が実践しやすくなります。
高齢の家族には、困ったときの相談先もあわせてメモしておくと安心です。
QRコードは便利な仕組みですが、見た目だけで安全性を判断するのは難しいものです。読み取ったあとに表示されるURL、ログイン画面、決済画面をそのまま信用せず、少しでも不自然なら公式アプリ・公式サイトから確認する習慣をつけておきましょう。
