スポンサーリンク

QRコード詐欺とは? 日常生活に潜む危険から身を守る方法

スマホ・タブレットパソコンサポート

街角でQRコードを読み取る機会が、とても多くなりました。

  • お弁当屋さんで代金を支払う
  • カフェでメニューを見る
  • 回転寿司で、自分のスマホで注文する
  • 駐車場で料金をPayPayで支払う
  • 観光地で、その場所の詳しい情報を見る

とっても便利なQRコードですが、実は、その裏に巧妙なワナが隠されていることがあるんです。

この記事を読めば、あなたも「見えない脅威」から身を守れます!
・巧妙化するQRコード詐欺の具体的な手口がわかります。
・明日から実践できるシンプルな対策が身につきます。
・万が一の時に冷静に対処する方法がわかります。

虫眼鏡でQRコードを覗くと、ドクロマークが見える、その周りに、若者や中年、高齢者など、多くの人がいて、覗き込んで、怖い、という表情をしている。

QRコードの最大の「激ヤバな特徴」とは?

QRコードは、見た目はただの白黒のモザイク模様なので、スキャンして開いてみるまで、どこにつながるか全く分かりません

このことが、悪い人たちに悪用されてしまう、一番の激ヤバな特徴なんです。

このようなQRコードを使った詐欺は「クイッシング(Quishing)」と呼ばれるようになりました。情報を盗み取る詐欺が「フィッシング」なので、その頭文字を「QR」の「Q」に変えたような感じです。

国民生活センターへの相談も急増していて、手口もどんどん巧妙になり、私たちの身近なところにまで忍び寄っています。

この記事では、そんな「見えない脅威」からご自身を守るための知識と対策をご紹介します。

手軽で便利なQRコードだけに、つい無防備にスキャンしてしまいがちですが、ぜひ、最後まで読んで、自分を守る方法を身に着けていただければと思います。

そして、お友達が引っ掛かりそうになった時に「それやばいよ! 押さないで!」と言って、守ってあげられる人になっていただきたい、というのが当店の願いです。


スポンサーリンク

こんなところにQR詐欺が潜んでいる!【リアルワールド編】

QRコードを使った詐欺は、皆さんの身近な場所で、意外な形で仕掛けられています。

スマホやパソコンの中ではなく、実生活のこんな場面に仕掛けられていた、という例をいくつか見ていきましょう。架空のお話ですが、実際にあった事件をもとにしています。

いつものカフェでランチ…でも、ちょっと待って!

休日の午後、お気に入りのカフェでランチ。テーブルにあったQRコードをスマホで読み取って、メニューを表示しました。
よく見ると、そのQRコードのステッカーが少し浮いていて、下にもう一枚別のQRコードがあるような…
上にある方が新しいQRコードなのかな、と思って、特に気にせず、表示されたサイトで注文をした。クレジットカード情報を入力してくださいとあったので、入力した。
数日後、クレジットカードの明細に見覚えのない高額請求があり、詐欺だと気が付いた。

これは、飲食店やカフェのテーブルにある本物のQRコードの上に、偽のQRコードをステッカーとして貼り付ける手口の詐欺です。

偽のQRコードから、偽サイトに飛ばされ、クレジットカード情報を盗まれて、不正利用された、ということです。(つまり、お店には注文は入っておらず、支払いもしていないことになってしまいます)

カフェのテーブルの上に、紙製のスタンド型のものが置いてあり、QRコードが印刷されている。スマホでそのQRコードをスキャンする日本人カップル。
実はそのQRコードは、張り替えられたものだった 怪しい手がそのQRコードの上に、偽のQRコードステッカーを上貼りしている

コインパーキングの清算、急いでいて、つい騙されてしまい…

約束の時間に遅れそうで焦りながら、初めてのコインパーキングに車を停めました。
料金精算機にはQRコードが貼ってありますが、どこか公式なデザインとは違って、手書きのような案内板に貼られています。
急いでいるので、深く考えずにスキャンして、表示されたサイトで料金を支払いました。しかし、ロック板は下がらず、出庫できません。
書いてあるサポートの電話番号に電話すると、料金が支払われていないと言われました。

この手口は、駐車場の精算機やパーキングメーターのQRコードが、偽物にすり替えられていたケースです。

表示された決済サイトは運営会社の公式のものではなく、偽物でした。入力したクレジットカード情報は、何者かに盗まれてしまいました。

公共交通機関やシェアサイクルでも、同じような手口が報告されています。

コインパーキングの精算機、金額表示が日本円で「600円」と表示されている。その下にQRコードが掲示されている。そのQRコードは別のシールの上に貼られている。少し傾いていて、下の紙と色合いが違う。端の方が少しはがれかれている。下にある別のシールが何なのかは、上のQRコードで隠されていてはっきりしない。手前に清算しようとしている人物の手が大きくうつり、手にはスマホを持って、QRコードの方に向けている。スマホの画面には、駐車場のロゴが入ったクレジットカード情報の入力フォームがうつっている。

実際に利用している企業からの、本物のダイレクトメールだったのに…

いつも利用している大手自動車用品販売店から、お得な情報が載ったダイレクトメールが届きました。(偽物ではなく本物です)
QRコードが印刷されていたので、キャンペーンを確認しようとスキャンすると、なぜか公式のサイトではなく、見慣れない広告サイトが表示されました。
クレジットカード情報の入力を求められましたが、さすがにおかしいので、入力しませんでした。もし入力していたら、どうなっていたでしょう…

まさか、信頼している企業からの本物の郵便物でこんな詐欺に遭うなんて…。このケースは実際にあった事例で、企業がQRコードを作るために使っていた「QRコード生成サービス」が原因でした。

本来、QRコードを生成する場合は、指定したアドレスをそのまま組み込むのですが、ある特定のQRコード生成サイトが、「まず指定されたアドレスを短縮アドレスに変換し、それをQRコードに組み込む」という仕様であったということです。

そのサイトを利用してQRコードを作成した事業者が、そのままダイレクトメールに印刷して発送しまた。すると、その後で、そのサービスが仕様を変え、本来のリンク先に飛ぶ前に広告ページを挟むようになり、そこに悪い広告が紛れ込んでしまったのです。

このことから分かるのは、QRコードの見た目が変わらなくても、短縮URLの「行き先」は、第三者のサービスによって後から変わってしまうことがあるという、目に見えにくい危険があるということです。

【セキュリティ ニュース】QRコード生成サイトの利用に注意 - 思わぬ動作でトラブルに(1ページ目 / 全3ページ):Security NEXT
特定のウェブページへアクセスさせる「QRコード」を生成できるオンラインサービスを利用したところ、提供された「QRコード」が期待した内容とは異なり、トラブルへ発展するケースが複数発生している。:Security NEXT
会社の社内パソコンを操作してQRコード生成サイトを開き、サイト上でQRコードを生成している会社員。手には、その生成したQRコードが掲載されたチラシを持って、これでよし、と満足げな表情をしている。右半分は、一般顧客が怒って電話している姿。顧客のそばの机の上には、会社員が持っていたのと同じチラシと、スマートフォンが並べて置いてある。スマートフォンの画面には、チラシに使われているのと同じ会社のロゴと、クレジットカード入力画面が表示されている。画面のすみに、詐欺師がニヤニヤ笑っているような姿がうつっている。

家のポストに「家賃の支払いをオンライン化することが決定した」

集合住宅のポストに、「家賃の支払いをオンライン化することが決定した」というチラシが入っていました。
QRコードが印刷されており、スキャンすると、オンライン家賃支払いというLINE公式アカウントと友達登録され、トーク画面に振込先の口座番号が送られてきました。
その口座番号に家賃を支払い、これでいいのだなと思っていたところ、後日、管理会社から「家賃未払い」という連絡がきました。
「先日、口座に振り込みましたが…」と説明して話をすりあわせて、ようやく詐欺だったのだと判明しました。

家賃や公共料金の支払いをよそおった、偽のチラシがポストに投函されるケースもあります。巧妙に偽装されたチラシを信用して、QRコードも信用し、スキャンして手続きをすすめてしまうと、お金を盗み取られたり、クレジットカード情報を盗まれたりします。

「家賃支払いをオンライン化」集合住宅400世帯に偽チラシ…QRコード悪用の詐欺、全国で相次ぐ
【読売新聞】 「闇バイト」をSNSで募集したとして、30日に職業安定法違反(有害業務の募集)容疑などで愛知県警に再逮捕された男は、QRコードを印刷した偽チラシを郵便受けに 投函 ( とうかん ) し、家賃をだまし取った詐欺容疑でも逮
左半分は、マンション住民の男性がマンションの集合ポストをあけ、中から出てきたチラシを見ている。チラシにはマンション運営会社のロゴが入っていて、QRコードが印刷されている。右半分は、同じ男性がマンション管理会社と携帯電話で電話している。男性は困った憔悴しきった顔をしており、電話の相手の管理会社の社員が困って憔悴した顔をしている様子がうつっている。

スポンサーリンク

こんなところにQR詐欺が潜んでいる!【オンライン編】

通販で買った商品「在庫切れなので返金します」実は詐欺だった

先日オンラインストアで買った商品について、突然LINEにメッセージが届きました。
「在庫切れなので、キャンセルして返金します」という内容。
銀行振込ではなく、「○○ペイ」でしか返金できないと言われ、手続きのためのQRコードが送られてきました。
電話口の「サポート担当者」の指示に従って、まずQRコードをスマホにダウンロード、続いて、「○○ペイ」のアプリの支払い画面で保存したQRコードを読み込むと、決済画面になりました。
「サポート担当者」は「99,980と入力してください」と言いました。「これは私が支払う画面では…」と思いましたが「返金を受けるために必要な受付番号です」というのを信じてしまい、手続き完了。
でも、やはりそれは返金ではなく、99,980円が「〇〇ペイ」アプリから支払われてしまいました。

この「返金詐欺」は最近日本で特に増えている手口で、2024年4月には、国民生活センターへの相談が前年4月一か月の約20倍にまで急増したそうで、とても深刻な問題になっています。

若い日本人女性がスマホを持っている後ろ姿、スマホの画面はチャットアプリ、誰かとチャットしている。その会話の最後にQRコードが送ってきている。
同じ日本人女性の手からお金が、見るからに悪そうな悪魔に吸い取られている。悪魔はニタニタ笑っており、女性は逃げていくお金を必死で取り戻そうとしながら、ポロリと涙を流している。

銀行からの「アカウント情報に問題があります」のメール、実は…

「アカウント情報に問題があります」という、銀行からのように見えるメールにQRコードがついていました。
「長押し、またはQRコードを保存してアクセスしてください」ということでした。
心配になってその通りにしてみると、いつも使っている銀行のログイン画面にそっくりなページが出たので、言われるがままにIDとパスワードを入力してしまいました。
でも、実はそれは銀行の偽サイトで、その後、オンラインバンキングに不正ログインされてしまいました。

偽のメールに、URLを入れて、偽のウェブサイトにアクセスさせ、ID・パスワードを盗み取る。これは、「フィッシング詐欺」として有名な手口です。

このケースはさらに、URLではなくQRコードがついていた、という事例です。URLの場合は、よく見るとなにかアドレスがおかしい、などと気づかれる場合がありますが、QRコードは、一見するとただのモザイク模様にしか見えないため、見破りにくいのです。

若い男性が持っているスマホの画面はメール受信画面、銀行のロゴがついているメールを開いている。メール内にQRコードが送信されてきている。メールの内容はとても深刻な警告文になっており、それを読んだ男性は深刻な表情で、あわててスマホを操作しようとしている。

スポンサーリンク

偽のQRコードの先に何がある? 詐欺の手口と対策を知ろう!

「悪いQRコード」「いいQRコード」の違いってなに?

QRコードは、ウェブサイト・支払い・ログインなど、いろいろな場面で「入り口」として使われます。

そして同時に、いろいろな悪いことをするための「入り口」としても使われます。

つまり「いいQRコード」「悪いQRコード」があるのですが、どうやって区別すればいいでしょうか?

QRコードは擬人化されており、ひとつは「良いQRコード」で、親切そうな雰囲気の人。ひとつは「悪いQRコード」で、きちんとした身なりだが裏で悪いことを考えている顔。

QRコードを読み取ると、「作成者が埋め込んだ文字列」に変換される

どのQRコードも、一見すると同じに見えますが、重要なのは「そのコードを読み取ると、どんな文字列に変換されるのか」ということです。

例えば、次のQRコード、なんだと思われますか?
(どこにも飛びません。害はありませんので、実際に読み取ってみていただいて結構です)

「春はあけぼの」を表すQRコード

このQRコードは、日本語で

「春はあけぼの」

という文字に変換されます。ただそれだけのQRコードです。さきほど無料のツールを作って即席で作成しました。

ちょっと驚かれた方もいるかもしれません。QRコードはこのように、作成者が好きなように、どんな文字でもコードに変換して表示・印刷できてしまうものなんです。

ですから、問題は、作成者がそのQRコードに「いい文字列」を埋め込んだのか、「悪い文字列」を埋め込んだのか、ということなのです。

会社員の男性が、QRコードに何かのURLを伝える。URLは実在しないことがわかるように、中に○や×を入れてください。QRコードはそれを聞いて、若い女性に伝える。若い女性はスマホを持っており、QRコードを読み取っている。

読み取られた文字列によって、ウェブサイトや決済アプリに接続する

QRコードから文字列が読み取られると、その先は、読み取られた文字列が、パソコン・スマホ内のルールに従って処理されて、さまざまな働きをします。

例えばこんな感じです。

  • https://~~ →他のルールと一致しない限り、そのアドレスのウェブサイトにつながる
  • https://qr.paypay.ne.jp/~~ →PayPayアプリの決済画面が開く
  • https://line.me/ti/p/~ または https://lin.ee/~~ →LINE友達追加が開く

詐欺の犯人は、このことを利用して、さまざまな手口で詐欺を仕掛けてきます。

ここからは、QRコードを読み取った先に、どんな詐欺の手口があるのか、さらに、手口ごとの対策法、詐欺にやられないための注意点もあわせて解説します。

スポンサーリンク

QR→偽サイトにつながる→入力した情報を盗まれる手口

一番多いのはやはり、偽のサイト(フィッシングサイト)へ誘導する手口です。

詐欺犯は、銀行や通販サイト、役所などのウェブサイトにそっくりな偽サイトを用意します。
そして、そのアドレス(URL)をQRコードの中に組み込みます

そうすると、このQRコードをスキャンすることで、詐欺サイトにつながるリンクやボタンをタップしてしまったのと同じことが起きるのです。

・偽サイトが画面上に開かれ、
「アカウントの確認が必要です」「セキュリティを更新してください」「ただちに支払いが必要です」といった言葉で不安をあおり
ログインID、パスワード、クレジットカード番号、セキュリティコードなど、機密情報を入力させ
入力してしまった情報は、まるまる犯人に盗まれる

一例として、Amazonを偽装したフィッシングサイトはこんな感じです。

フィッシング対策協議会「Amazon をかたるフィッシング (2020/05/29)」より引用
縦長の画像から当サイトにて切り貼り編集しています

そして、盗まれた情報を使って

・アカウントを乗っ取られる
なりすましをされる
・ネットショッピングでカードを不正利用される
不正に送金される
闇サイトで売られ、他の犯人の手に渡る

といったことが行われてしまいます。

対策1・鉄壁の防御!『QRコードから開いた先では入力しない』という自分ルール

情報を盗み取る「フィッシング詐欺」は、アクセスしただけでは被害は発生しません。

その画面を「本物だ」と思い込んで、ID・パスワードや、クレジットカード情報を入力してしまうことによって、被害が発生するのです。

ですから、

「QRコードから飛んだ先では、ID・パスワードや、クレジットカード情報は絶対に入力しない」といった、「自分のルール」

を決めていただくことは、きわめて有効な対策になります。

「本物か偽物かは関係なく、QRコードから飛んだ先では入力しない」

ということです。

えーっ、それは困る…必要な場合どうすればいいんだ…
公共料金の支払いなど、緊急性がある場合はどうすれば…

と感じた方が多いと思います。

いったんそこで操作を止めて、QRコード以外の方法で確実に「本物のサービス」に接続し、その画面上で改めて支払いの必要性などを確認してから、カード情報などを入力する

ということなのです。そうすれば、決して詐欺サイトに入力してしまうことはありません。もちろん、この段階で、偽の通知だった、ということが分かる場合が多いと思います。

または、電力会社・水道局などに電話で確認していただくのがよいと思います。

フィッシング対策協議会も「偽サイトは見破れません」

公的機関が運営している、「フィッシング対策協議会」でも、まずはこの対策を強くおすすめしています。

フィッシングサイトは見破れません!

「見破る方法はありますか?」「見分け方のコツはありますか?」とご質問いただきますが、最近のフィッシングサイトはとても精巧に作られているため、見分けることは非常に困難です。

日頃の習慣でフィッシングを回避

日頃から利用しているサービスへログインする際は、「いつも」の公式アプリ、「いつも」の公式サイト(ブックマーク)から開くよう、習慣づけましょう。
習慣づければ、怪しいメールやSMSが来ても、正規のアプリや正規のWebサイトにアクセスする癖がついているため、フィッシングサイトを開くことを防止できます。

フィッシング対策協議会「フィッシングとは」より

対策2・QRコードで読み取った「URL」を確認しよう

「QRコードをスキャンする」といいますが、実際には次の3ステップあると思います。

  1. QRコードをスキャンする
  2. 読み取られた文字列が、カメラアプリの画面に表示される
  3. その文字列をタップして、実際にアクセスする

この2番目のステップで、必ず、今からアクセスしようとするリンクのプレビューが表示されているはずです。

QRコード読み取り時に出てくる、読み取り結果のプレビュー
※スクショはGalaxyシリーズのものです。

ここには、スペースが小さいため、リンクの一部しか表示されませんが、意識してよく見ていれば、この時点で偽サイトだと気が付く場合も多いと思います。

流れで無意識に押してしまわないで、一度きちんと確認することをおすすめします。

「タップした直後」に表示される重要情報を見逃さないで!

ここまで「本物のサイトだ」と信じて、QRコードからサイトを開いた場合も、開いた直後のココを、ぜひもう一度きちんと確認してください。

「ブラウザのアドレスバー」と呼ばれる場所です。ここに、開いたウェブサイトの完全なURLが表示されています。

ブラウザの一番上にあるアドレスバー

「URLの読み方」を知っていただく必要があります。少々むずかしいのですが、ぜひ、インターネットを安全に使うための基礎知識として、身に着けてください。

どんなに長いURLでも
重要なのは、一個目の「/」の前まで!
「/」のすぐ前の部分がそのサイトの本当のドメイン
小さくて見づらい場合は、二本指で拡大する操作で大きく表示できます。

「https://と、”s”がついていることを確認しましょう」という古い情報を掲載しているサイトもありますが、現在は詐欺サイトも「https://」が標準ですので、その情報は全く役に立ちません。

「URL短縮サービス」について
QRコードの読み取り結果が、「bit.ly/〇×△」など、めちゃくちゃ短いことがあります。
これは、「URL短縮サービス」を使っていることを示します。
以前は、入力する文字数を短くするためによく使われましたが、現在はほぼ、本来の詐欺URLを隠すために使われているといってよいと思います。
まだ本物の企業が使っているケースもまれにありますが、安全のため、短縮URLは信用せず、タップしない方が良いでしょう。

対策3. 詐欺サイト検出機能・検出アプリを活用しよう

スマホには、標準でそなわっている詐欺サイト検出機能があります。セキュリティ対策アプリほどの精度ではありませんが、標準で使えるものですので、ぜひ利用してください。

iPhoneの場合
設定→アプリ→Safari→「詐欺Webサイトの警告」

iphone 設定→アプリ→Safari→「詐欺Webサイトの警告」
小さくて見づらい場合は、二本指で広げる操作をすると拡大できます

Androidの場合
Chrome→設定→「プライバシーとセキュリティ」「セーフブラウジング」
モードが2つあり、
保護強化機能: 最新の脅威に対して、より迅速で強力な保護を提供します。新しいタイプの脅威も予測して警告しますが、一部の閲覧情報がGoogleに送信されます。
標準保護機能(デフォルト): 既知の危険なサイトやダウンロードから保護します。

Chrome→設定→「プライバシーとセキュリティ」「セーフブラウジング」
小さくて見づらい場合は、二本指で広げる操作をすると拡大できます
スポンサーリンク

QR→口座または決済アプリ→直接お金を振り込まされ、盗まれる手口

QRコードを使って直接、お金の振り込みをさせる手口もあります。

  • メールや、直接ポスト投函などでQRコードを送り付け、銀行振込させる
  • 決済アプリの個人間送金の仕組みを利用し、QRコードから送金させる
  • 「返金する」と称して実際には支払い用のQRコードを送り付ける

などの手口です。

2024年に愛知県で実際にあった詐欺事件では、集合住宅のポストに、管理会社をかたって「家賃がオンライン支払になりました」という通知が投函されました。

左半分は、マンション住民の男性がマンションの集合ポストをあけ、中から出てきたチラシを見ている。チラシにはマンション運営会社のロゴが入っていて、QRコードが印刷されている。 右半分は、同じ男性がマンション管理会社と携帯電話で電話している。男性は困った憔悴しきった顔をしており、電話の相手の管理会社の社員が困って憔悴した顔をしている様子がうつっている。

QRコードをスキャンする時点でだまされている

他の手口と違うのは、いずれも、QRコードをスキャンする時点で、すでにだまされている、という点です。

信頼できる機関や会社をかたって送り付ける

役所や公共機関、警察などの名をかたって、QRコード付きのメールやチラシを送り付けてきます。

幼稚なものは簡単に見抜けますが、精巧なものは一見してだまされてしまい、その権威のまえに無条件に信用してしまうことがあります。

本物のQRコードを不正に貼り換えて、誤ってスキャンさせる

お店などに掲示された決済用QRコードの上から、不正なQRコードを勝手にシールなどで貼り付けてしまい、誤ってスキャンさせる手口もあります。

深く考えずに、「お店でスキャンして支払う」という、いつもの行動をそのままとるだけで、詐欺犯にお金を盗まれてしまいます。

冷静でいられない状況を演出する

「料金が未払いです。すぐに払ってください!」といった言葉で、「急いで支払いを済ませなければならない」という気持ちにさせ、慎重に確認する機会を奪います。

対策1. QRコード以外の方法で支払えないか確認する

QRコード以外の方法で支払う方法がないか、まずは探していただくのがよい、と思います。

QRコードは便利なだけに、判断の時間を与えずお金を盗みたい詐欺師が利用しがちです。また、つながる先を隠すことができる特性があり、一見して見破りにくいことも、詐欺師に有利です。

ですから、

  • 公共料金なら、電力会社・水道局・市役所などに電話して確認する
  • 商品代金なら、購入したショップに電話やメールで確認する
  • 家族の誰かが商品を買ったという話なら、その家族に必ず確認してから支払う

といった対策が有効です。

対策2. QRコードが本物なのかを、別の方法で必ず確認する

QRコードは、暗号のようなもので、スキャンしてどこにつながるのか、つながってみないと分かりません。

そして、つながった先は、詐欺だった場合は、巧妙に偽装されています。本物そっくりか、本物と誤認するように作られています。

そのQRコードが本物なのかを、必ず別の方法で確認する習慣をつけることは有効な対策になります。

  • 一度本物の窓口に電話し、こういうQRコードを配布しているか、とたずねる
  • 少しでも怪しい場合に、お店の人にQRコードを見せ、「このQRコードは本物ですか?」と確認する

といった対策が有効です。

対策3. 正規加盟店の決済画面なのか確認する

決済アプリを使った詐欺の場合、「個人間送金」の仕組みを悪用されるケースが多いと思われます。

「個人間送金」は、決済アプリの利用者同士でお金を送りあう機能です。普通は、電話番号などでお互いに送りあうのですが、「マイQRコード」を発行して、QRコードをスキャンさせる方法でも送金できてしまいます。

そして、ユーザー間の送金ですから、事業内容の確認や規約の確認、不正を行った場合の処分などの「加盟店審査」を受けなくても、支払いを受けることができてしまうのです。

※個人間送金で事業性の決済を行うと、どの決済アプリでも、アプリ利用規約違反となります。

正規加盟店が、店頭に掲示しているQRコードをオンラインで送って支払いを受けることは、加盟店規約違反になりますので、QRコードを送ってくることはありません。
オンラインで支払いを受ける場合は、オンライン加盟店の別の審査を通過し、「〇〇ペイで支払う」などの専用のボタンやリンクで支払う方式のみになります。

例として、PayPayアプリの「個人間送金」と、正規加盟店の決済画面はこのようになっています。全然違いますので、知っていれば簡単に見抜くことができます。

PayPayの決済画面
左側 背景が赤い 〇〇さんに送ると書かれている
「個人間送金」の画面
=加盟店審査を通ってない右側 背景が白い店名が表示されていて、支払い金額(税込)と書かれている
正規加盟店の決済画面
=加盟店審査を通過している

通販の返金を受けるのに、個人間送金はおかしいですよね。

知っていれば、「個人間送金はおかしい! 事業性の決済はできないはずですよね!」と言い返せるかもしれません。

スポンサーリンク

QR→インストール→乗っ取られる、「マルウェア感染」の手口

QRコードのアクセス先から、「無料ゲーム」「更新アプリ」「会員アプリ」「取引アプリ」などの名目で、スマホ・パソコンを乗っ取るマルウェアをインストールさせ、丸ごと乗っ取ってしまう手口もあります。

これも偽サイトを使った手口ではありますが、フィッシング詐欺よりも被害が大きくなりかねないケースです。

偽アプリをインストールしてしまうと、どうなるのか

もし偽アプリをインストールしてしまうと、簡単に言えば、そのスマホ・パソコンを犯人の思うがままに操作される危険があります。

  • スマホの中の個人情報(連絡先、写真、メールなど)を盗まれる
  • 通話履歴や、どんなサイトを見たかを記録した閲覧履歴を盗まれる
  • 文章からパスワードまで、入力した文字を全て記録され盗まれる(キーロガー)
  • カメラやマイクを勝手に起動されて、プライベートが盗撮・盗聴される

といった、深刻な被害が報告されています。

スマホで「無料ゲーム」などのアプリをインストールすると、背後に悪魔がひそんでいるようす

iPhoneは基本的に安全(2025/7時点)

この偽アプリの問題に関しては、iPhoneは基本的には安全、と考えていただいてよいと思います。

国家レベルの関与による盗聴事件などは実際にありましたが、一般の私たちが、標準的な使い方をしている限りは基本的に安全です。

理由は、AppStoreからしかアプリをインストールできず、Appleの審査がめちゃくちゃ厳しいからです。

しかし現在、「独占の排除、競争の促進」という理由で、AppStore以外からもアプリをインストールできるようにしよう、という「サイドローディング」を政府が推進しています。

EUではすでに、AppStore外からもアプリをインストール可能になっています。もしこれが日本でも実施された場合は、iPhoneの方も、マルウェアのリスクを今よりも警戒しなければならないかもしれません。

[石川温の「スマホ業界 Watch」] 「国民のプライバシーが犠牲に」 東大教授がサイドローディング導入に反対する理由とは
政府のデジタル市場競争会議が導入しようとしているiPhoneでの「サイドローディング」。デジタル市場競争会議ではサイドローディングを導入することで、アプリの流通経路を増やし、結果として、アップルが30%(もしくは15%)を課している手数料の...

ここから対策の話をしていきますが、すべてAndroidの方むけの対策です。iPhoneの方は、現時点ですべて「対策済み」とお考え下さい。

対策1・「提供元不明のアプリのインストール」をオフ

Androidの方も、「Playストアからしかアプリをインストールできなくする設定」があります。

設定を開き、虫眼鏡の検索アイコンを押して「不明」と検索してください。

「提供元不明のアプリのインストール」または「不明なアプリのインストール」という設定項目が出てきます。ここを「オフ」または「すべて拒否する」にしましょう

設定を開き、虫眼鏡の検索アイコンを押して「不明」と検索してください。「提供元不明のアプリのインストール」または「不明なアプリのインストール」という設定項目が出てきます。ここを「オフ」または「すべて拒否する」に

マルウェアでない、正規のサービスでも、Playストア以外からアプリをインストールしなければ利用できない場合があります。
その場合、インストール時に「不明なアプリのインストールを許可してください」などのメッセージが出ます。
その場合、提供元が信頼できるかどうか、より一層慎重に確認したうえで、その都度、上記設定をオフにしてインストールし、すぐにまたオンに戻す、という方法で対応していただくことをおすすめします。
面倒なのですが、不明なアプリを許可したままのAndroidはかなり危ない、と言わざるを得ません。

対策2・「Google Play プロテクト」をオン

これもAndroidの方が対象なのですが、Google Playプロテクトを有効にしましょう

これはAndroidに最初から入っているマルウェアをチェックする機能です。セキュリティアプリを入れていない方でも、初期状態で使えるマルウェア対策ですので、使っていきましょう。

設定→検索から「プロテクト」と検索すると簡単に設定項目を見つけることができると思います。通常は、最初からオンになっていますので、オンになっていることを確認してください。

Google Playプロテクト オフになっている場合はオンにする

対策3・セキュリティ対策アプリをインストールする

可能な方は、信頼できるセキュリティ対策アプリをインストールすると有効です。

古いスマホにセキュリティアプリを入れると、容量がギリギリすぎて、まともに動かなくなることがあります。その場合は…お買い替えをおすすめします。

「セキュリティ対策アプリ」を名乗る偽アプリも存在します。出所のはっきりした、定評のあるアプリを入れなければ、逆に危なくなってしまいます。

おすすめのアプリを、別の記事にまとめましたので、まだ入れていない方はぜひご検討ください。


スポンサーリンク

もし詐欺に遭ってしまったら…焦らず冷静に行動しましょう

ここまでは、QRコード詐欺にあわない方法を解説してきましたが、もし、実際にQRコード詐欺にひっかかってしまった場合、どうすればいいでしょうか?

まずは「あわてない」ことが大切です

多くの方が、「詐欺にやられた」と気が付いた瞬間から、冷静さを失ってしまわれます。

「どうしよう、どうしよう、どうしよう…」と完全に混乱してしまって、よく確認しないでいろんな行動をとってしまい、被害を広げてしまう場合があるのです。

クレカ情報を盗まれた、ID・パスワードを盗まれた、といった場合、じたばたあがいても、その情報を取り戻して、盗まれる前の状態に戻すことはできません。

ですから、「盗まれた場合、どんなことが起きるのか」「どうすれば被害を広げないのか」という点について、あらかじめ想定して、正しい知識をもち、冷静に対応していただくことが、なによりも重要です。

まず最初に!被害の証拠を保存しましょう

ここから応急処置の解説をしていきますが、それと並行して、被害の証拠をできるだけ保存してください。

詐欺サイトのURL、画面のスクリーンショット、犯人とのやり取りの履歴(メールやSNSなど)、不正利用された明細などが、後の相談や警察への届出の際に極めて重要になります。

1. すぐにやるべきこと(被害対策)

クレジットカード情報が盗まれた

カード表面に書かれている電話番号に電話し、クレジットカードを停止してください。

カードを停止すれば、基本的には不正利用は止まりますが、最近、イオンカードの不正利用では、それでも止まらなかったケースがありました。ですので、それ以後の利用明細を確認して、不正利用があった場合はただちにカード会社に連絡してください。

多くのカードには、届け出から一定期間内(例:60日以内など)の不正利用を補償する制度があります。補償を受けるためにも、気づいた時点ですぐに連絡することが大切です。

銀行の口座番号が盗まれた

口座番号が知られただけでお金を盗まれることはありません。しかし、他の漏洩事件で生年月日が漏洩していると、それをもとに暗証番号を当てられてしまう場合があります。

それでもキャッシュカードがなければ現金は引き出せませんが、オンラインの決済サービスなどの不正登録などと組み合わせて、巧妙にお金を引き出されてしまう事件が2020年に発生し、問題になりました。

ドコモ口座 不正引き出し問題はなぜ起きたのか|サクサク経済Q&A|NHK
【NHK】いったい何が起きているの?被害にあわないようにするためにはどうすればよいの?

ですので、銀行に電話して、口座番号は変えられませんが、暗証番号は推測しにくい別のものに変えた方がよいと思います。

ネットバンキングのID・パスワードが盗まれた

ただちにパスワードを変更してください。

時間がたつと、詐欺師にパスワードを変更され、アクセスできなくなる可能性があります。

パスワードを変更すれば、詐欺師はアクセスできなくなるので大丈夫です。

さらに、この機会に二段階認証(2FA)を設定しましょう。パスワードに加えて、スマートフォンアプリやSMSで発行される確認コードの入力が必要になるため、第三者による不正ログインを格段に防ぐことができます。設定方法は、各サービスの画面から「設定」「セキュリティ」などの項目に入ってそれぞれ確認してください。

取引明細を確認し、不正な引出しや送金があった場合は、銀行のサポート窓口に電話で申告して下さい。一定の補償がある場合があります。

SNSや通販サイトなどのID・パスワードが盗まれた

すぐにパスワードを変更してください。可能であれば、二要素認証も設定しましょう。

また、自分のアカウントから身に覚えのない投稿やメッセージが発信されていないか確認してください。もし乗っ取られていた場合、友人やフォロワーに「アカウントが乗っ取られたので、不審なDM(ダイレクトメッセージ)などは開かないで」と別の手段で伝え、被害の拡大を防ぎましょう。

マルウェア(ウイルス)をインストールしてしまった

「まずはネットワークから切断」というのが基本的な対処になります。

スマホをネットワークから切断する方法
・「機内モード」に設定
・Wi-Fiをオフ
※「機内モード」は「電波を止める」イメージですが、実はWi-Fiが切れないことが多いです。Wi-Fiは別に着る必要があります。

この操作が良く分からない方は、とりあえず電源を切っていただく方法でもよいと思います。

これで情報の流出やウイルスの活動は止められます。いったんネットワークを切断、または電源を切って、冷静になることが重要かもしれません。

セキュリティアプリをあらかじめインストールしている場合は、ネットから切断した上で、スキャン機能で全体スキャンできるかお試しください。

ただし、セキュリティアプリのスキャンも万能ではありません。完全にウイルスを駆除するには「工場出荷時の状態に戻す」が確実ですが、この方法はスマホのデータがすべて失われます。

実際はウイルスに感染していないのに「ウイルスにかかった!」と思い込んでしまうケースもかなり多いです。
スマホ初心者の方が、何かの警告画面や、ちょっといつもと違う表示をみて、ウイルスだと思い込んでしまい、冷静でいられなくなってしまうのです。

まずは一旦、スマホの電源を切って、冷静に対応することをおすすめします。
そして
・スマホのどんなところを見て、ウイルスに感染したと思いましたか?
・直前すスマホでどんな操作をしましたか? どの操作で感染してしまったと思いますか?
といったことを、具体的に思い返してみてください。

本当にウイルスだったら、スマホの初期化など、大きな処置をしなければなりません。
影響が大きいですので、できれば、身近にいるスマホに詳しい方に相談してください。

2. 被害を広げないための相談・通報

被害があったことを報告することは、皆さんの被害回復につながるだけでなく、犯人を追い詰めるため、そして他の人が同じ被害に遭うのを防ぐためにも、とても大切なことです。

消費者庁「消費者ホットライン 188(いやや!)」

消費生活全般の相談や詐欺被害については、消費者ホットライン「188(いやや!)」があります。

困ったときは、一人で悩まずに、「消費者ホットライン」188にご相談ください。
地方公共団体が設置している身近な消費生活センターや消費生活相談窓口をご案内します。

と案内されています。

消費者ホットライン | 消費者庁

犯罪行為にあたるかもしれない、分からない、という時 警察相談専用電話「#9110」

犯罪の被害に遭った、と明確に分かる場合は、もちろん「110番」で良いわけですが、はっきりしない場合も多いと思います。

そんなときは、警察相談専用電話「#9110」に相談できます。

犯罪や事故に当たるのか分からないけれど、ストーカーやDV・悪質商法など警察に相談したいことがあるときには、警察相談専用電話「#9110」番をご利用ください。全国どこからでも、電話をかけた地域を管轄する警察本部などの相談窓口につながります。

と書かれています。

警察に対する相談は警察相談専用電話 「#9110」番へ | 政府広報オンライン
犯罪や事故に当たるのか分からないけれど、ストーカーやDV・悪質商法など警察に相談したいことがあるときには、警察相談専用電話「#9110」番をご利用ください。全国どこからでも、電話をかけた地域を管轄する警察本部などの相談窓口につながります。

「#9110」は専門の担当者が対応してくれる相談窓口です。実際に金銭的な被害が発生し、犯人を捕まえてほしい(捜査してほしい)と望む場合には、お住まいの地域を管轄する警察署に、保存した証拠を持参して「被害届」を提出する必要があります。

ウイルスや不正アクセスかどうか、確認したい場合の窓口もあります。

ウイルスや不正アクセスの被害にあった可能性があるが、技術に詳しくないのでよくわからない、という場合の相談窓口もあります。

独立行政法人情報処理推進機構(IPA)の「情報セキュリティ安心相談窓口」です。

「情報セキュリティ安心相談窓口」は、IPAが国民に向けて開設している、一般的な情報セキュリティ(主にウイルスや不正アクセス)に関する技術的な相談に対してアドバイスを提供する窓口です。

情報セキュリティに関する技術的なご相談 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
情報処理推進機構(IPA)の「情報セキュリティに関する技術的なご相談」に関する情報です。

スポンサーリンク

まとめ:最強の防御策は「スキャンする前、タップする前の一呼吸」

QRコードはとても便利ですが、一番の問題は、QRコードが「どこにつながるか、読み取ってみるまで分からない」ことです。

実際のステッカーを貼り替えるような物理的な手口から、人の心理を巧みに利用する「返金詐欺」まで、手口は本当に多様です。

これまで様々な対策を紹介してきましたが、最もシンプルで強力な対策は、たった一つです。それは、QRコードを扱うあらゆる場面で「一呼吸おく」習慣をつけることです。

  • スキャンする前に一呼吸: 「このQRコードは本当に信頼できる?ステッカーが上貼りされていない?」「本当にQRコードからしか手続きできない? 他の方法は?」
  • タップする前に一呼吸: 「表示されたURLは本当の公式サイト?」

この一呼吸が、あなたを冷静にさせ、詐欺師の罠を見破る時間を与えてくれます。

このちょっとした行動が、皆さんが思わぬトラブルに巻き込まれるのを防ぎ、安全にインターネットを利用していくための、一番の武器になるはずです。

ぜひ、今日から意識してみてください!

パソコン教室・キュリオステーション志木店からのお知らせ
レッスンはオンラインで受講できます

パソコン教室・キュリオステーション志木店では、オンラインでの在宅レッスンを実施しております。
教室の全コースがオンラインで受講可能。実際にインストラクターがご対応いたします。
1時間の無料体験レッスンはいつでも予約できます。詳しくは公式ページをご覧ください。

スポンサーリンク
キュリオステーション志木店運営をフォローする

コメント

タイトルとURLをコピーしました