フィッシング対策ガイド

不審なQRコードに注意！キューシング詐欺の手口、見分け方と対処法

はじめに：身近になったQRコードに潜む危険性

スマートフォンで手軽に情報を取得したり、決済を行ったりする際に広く使われるようになったQRコード。様々な場所で見かける機会が増えましたが、この便利さにつけこんだ新たなフィッシング詐欺の手口が増加しています。それが、「キューシング（Quishing）」と呼ばれる、QRコードを利用したフィッシング詐欺です。

キューシングは、一見正規のものと区別がつきにくい偽のQRコードを用いて、私たちを巧妙に騙そうとします。この記事では、キューシングの具体的な手口と、それに騙されないための見分け方、そして万が一被害に遭ってしまった場合の適切な対処法について解説します。

キューシング詐欺の具体的な手口

キューシングの手口は多岐にわたりますが、主なものとして以下の例が挙げられます。

• 物理的な場所に偽装QRコードを貼り付ける:
  • 公共の場（駅、公園、カフェなど）のポスターや看板に貼られた正規のQRコードの上に、偽のQRコードを重ねて貼り付ける。
  • 駐車場や駐輪場などで、支払い方法やサービス利用を装った偽のQRコードを設置する。
  • 企業や店舗の入り口、窓口などに、アンケート回答や割引提供を装った偽のQRコードを貼り付ける。
• デジタル媒体を通じて偽装QRコードを送りつける:
  • メールやSMS、メッセージアプリに、請求書、当選通知、セキュリティ警告などを装った偽のQRコード画像を添付したり、メッセージ内に含めたりする。
  • 偽のウェブサイト上に、公式を装ったQRコードを掲載する。
  • ソーシャルメディアの広告や投稿に、お得な情報やキャンペーンを装った偽のQRコードを含める。

これらの偽のQRコードを読み込むと、私たちをマルウェア（不正なプログラム）のダウンロードサイトや、個人情報・認証情報・クレジットカード情報などを盗み取るための偽サイトへ誘導します。偽サイトは正規のサービスと非常に似ているため、気づかずに情報を入力してしまう危険性があります。

キューシング詐欺の確実な見分け方

キューシングから身を守るためには、QRコードを読み取る際に以下の点に注意することが重要です。

1. QRコードが貼られている場所や文脈に不自然さがないか確認する:
   • 貼られているQRコードが、その場所や掲示物の内容と本当に一致しているか立ち止まって考えましょう。例えば、全く関係のない場所や個人宅のインターホン付近に貼られた宅配関連のQRコードなどは不審です。
   • 既に貼られている正規のQRコードの上に、別のQRコードが重ねて貼られていないか、見た目に不自然な点はないか確認します。
2. QRコード読み取りアプリで表示されるURLを必ず確認する:
   • 多くのQRコード読み取りアプリは、スキャンした際にリンク先のURLを表示します。そのURLをタップしてサイトを開く前に、表示されたURLを注意深く確認してください。
   • 正規のサービスや組織のドメイン名（例: example.co.jp, examplebank.comなど）と一致するか確認します。 見慣れないドメイン名や、正規のドメイン名に似ているが微妙に異なる（例: examplebank.info, exanplebank.comなど）場合は非常に危険です。
   • ランダムな英数字の羅列や、意味不明な文字列が含まれているURLは不審です。
   • URLがhttps://で始まっているか確認します。ただし、httpsでも偽サイトは作成可能なので、これだけで安全だと判断せず、ドメイン名の確認も併せて行ってください。
3. 緊急性を煽るメッセージに注意する:
   • 「今すぐ〇〇してください」「このQRコードから手続きしないとアカウントが停止されます」といった、焦らせるようなメッセージと共に提示されたQRコードは、詐欺の可能性が高いです。一旦立ち止まり、冷静に判断してください。
4. 信頼できるアプリやサービスから提供されたQRコードか確認する:
   • 公式アプリ内で表示されたQRコードや、正規の機関から送られてきた書類に印刷されたQRコードなど、信頼できる経路で提供されたものかを確認することも重要です。

これらのポイントを押さえ、安易にQRコードを読み取ったり、読み取って表示されたURLにアクセスしたりしないように心がけましょう。

万が一、不審なQRコードを読み込んでしまった・誘導された場合の対処法

不審なQRコードを読み取ってしまったり、誘導された偽サイトにアクセスしてしまったりした場合でも、慌てず冷静に対処することが重要です。

1. 個人情報や決済情報を絶対に入力しない:
   • 偽サイトに誘導された場合、ID、パスワード、氏名、住所、電話番号、クレジットカード番号、有効期限、セキュリティコードなどの入力を求められても、絶対に入力しないでください。
2. 速やかにブラウザやアプリを閉じる:
   • 不審なページが表示されたら、すぐにそのブラウザやアプリを閉じてください。バックグラウンドで動作している可能性もあるため、タスクキルを行うことも検討してください。
3. 情報を入力してしまった、または決済してしまった場合:
   • 関係各所への連絡: 情報を入力してしまった場合は、速やかに関係各所へ連絡することが最も重要です。
     • 利用したサービスの運営元: 入力したアカウント情報（ID・パスワード）に関わるサービス（例：銀行、SNS、ECサイト、クラウドサービスなど）の公式窓口に連絡し、不正アクセスやアカウント乗っ取りの可能性を伝えてください。パスワードを直ちに、別のアカウントで使用していない強固なものに変更してください。
     • 金融機関・クレジットカード会社: クレジットカード情報や銀行口座情報を入力してしまった場合は、すぐにカード会社や銀行に連絡し、不正利用の可能性を伝えてください。カードや口座の一時停止手続きが必要になる場合があります。
   • 証拠の保全: 被害状況を正確に伝え、その後の捜査に協力するため、可能な範囲で証拠を保全してください。
     • 不審なQRコードが掲載されていた場所や画面の状況を写真やスクリーンショットで記録する。
     • QRコードを読み取った際に表示されたURLを控える。
     • 送られてきたメールやメッセージの画面を保存する。
     • 偽サイトの画面をスクリーンショットで記録する。
   • 警察への相談: 最寄りの警察署のサイバー犯罪相談窓口や、警察相談専用電話（#9110）に相談してください。被害届の提出が必要になる場合もあります。

被害に遭った場合の相談先

万が一、フィッシング詐欺（キューシングを含む）の被害に遭ってしまった場合や、その可能性がある場合の一般的な相談先は以下の通りです。

• 消費者ホットライン（188）： 消費者問題に関する相談を受け付けています。被害状況に応じて、適切な相談窓口を案内してくれます。
• 警察相談専用電話（#9110）： 警察の相談窓口につながります。サイバー犯罪に関する相談も受け付けています。緊急性がない場合の相談に利用できます。
• 各都道府県警察のサイバー犯罪相談窓口： 各都道府県警察のウェブサイトに相談窓口の情報が掲載されています。
• 利用したサービスや金融機関の窓口： サービス運営元や金融機関は、不正利用に関する専門部署を持っている場合があります。

ご注意： 上記は一般的な相談先です。個別の被害状況や、具体的な対応については、必ず各機関の指示に従ってください。

まとめ：日頃からの意識と確認が最大の防御策

QRコードは私たちの生活を便利にするツールですが、その利便性を悪用するキューシング詐欺に十分注意が必要です。不審なQRコードに遭遇した際は、安易に読み取らず、まずは表示されるURLを必ず確認する習慣をつけましょう。

万が一、情報を入力してしまった場合は、速やかに関係各所へ連絡し、被害の拡大を防ぐことが重要です。日頃からフィッシング詐欺の手口に関心を持ち、冷静な判断を心がけることが、サイバー犯罪から身を守るための最大の防御策となります。