QR コード

QR コードとは

QR コード (Quick Response Code) とは、正方形のマトリクス型二次元バーコードです。1994 年にデンソー (現デンソーウェーブ) の開発チームが、自動車部品の生産管理を効率化する目的で考案しました。従来のバーコードが横方向にしか情報を持てないのに対し、QR コードは縦横両方向にデータを格納できるため、数千文字の情報を小さな面積に収められます。

開発当初は工場の在庫管理用でしたが、デンソーウェーブが特許を開放したことで爆発的に普及しました。現在では決済、チケット発券、URL 共有、名刺交換、ワクチン接種証明など、日常のあらゆる場面で利用されています。

QR コードのデータ構造

QR コードは一見ランダムな白黒のドットに見えますが、厳密に定義された構造を持っています。

QR フィッシング (Quishing) の脅威

QR コードの普及に伴い、QR フィッシング (Quishing) と呼ばれる新たな攻撃手法が急増しています。攻撃者が悪意のある URL を QR コードに埋め込み、ユーザーをフィッシングサイトやマルウェア配布サイトに誘導する手口です。

Quishing が従来のフィッシングより厄介な理由は、QR コードの中身を目視で確認できない点にあります。メールやメッセージ内のリンクであれば URL をホバーして確認できますが、QR コードはスキャンするまで遷移先が分かりません。

代表的な攻撃シナリオ

• 駐車場やレストランの偽 QR コード: 正規の決済用 QR コードの上に偽のステッカーを貼り付け、攻撃者の口座に送金させる
• メール内の QR コード: 「セキュリティ更新のためスキャンしてください」と偽り、認証情報を窃取するサイトに誘導する。メールフィルターは画像内の QR コードを解析しにくいため、テキストベースのフィッシングより検出を回避しやすい
• 偽の Wi-Fi 接続用 QR コード: カフェや空港に設置された QR コードを差し替え、悪意のあるネットワークに接続させる

QR コードを安全に使うための実践ガイド

• スキャン後に URL を確認する: QR コードをスキャンしたら、ブラウザが表示する URL を必ず確認する。短縮 URL の場合は展開してからアクセスする。HTTPS でないサイトには個人情報を入力しない。
• 公共の場の QR コードに注意する: ステッカーが上から貼られていないか、印刷物が改ざんされていないかを目視で確認する。不審な場合は QR コードを使わず、公式サイトに直接アクセスする。
• QR コードスキャナーの選択: OS 標準のカメラアプリを使用する。サードパーティのスキャナーアプリの中には、スキャン履歴を収集するものがある。iOS と Android の標準カメラはスキャン前に URL をプレビュー表示するため、安全性が高い。
• 二要素認証の有効化: 万が一フィッシングサイトに認証情報を入力してしまっても、二要素認証が有効であれば不正ログインを防げる。
• 企業での対策: 従業員向けのセキュリティ研修に Quishing の事例を含める。メールセキュリティ製品の中には QR コード内の URL を解析する機能を持つものがあり、導入を検討する価値がある。

よくある誤解

QR コードそのものにウイルスが含まれている

QR コードはデータを格納するだけの媒体であり、コード自体がウイルスを実行することはありません。危険なのは QR コードに埋め込まれた URL の遷移先です。スキャン後に表示される URL を確認する習慣が最も効果的な対策です。

QR コードは読み取り専用で改ざんできない

QR コード自体のデータは固定ですが、物理的なステッカーの貼り替えや、短縮 URL サービスのリダイレクト先変更により、実質的な改ざんが可能です。公共の場に設置された QR コードは常に改ざんリスクがあります。

関連用語

関連記事