事業者のためのQRコード生成ガイド：安全に作成するためのポイント

はじめに

2次元バーコードの1つ、QRコードは、スマートフォンやタブレットを使って簡単に情報を取得できる便利なツールとして、決済、情報提供、マーケティングなどのさまざまな場面で利用されています。しかし、その普及とともに、QRコードを悪用したサイバー犯罪も確認されています。
本稿は、「チラシや広告にQRコードを作成して掲載したい」などのQRコードを作成する必要性に直面している”事業者”向けの記事です。QRコード発行時に気をつけるべきポイントに焦点を当て、注意したい手口を解説します。

そのため、QRコードの仕組みや基本的な作り方については割愛し、具体的な悪用手口とその対策に重点を置いています。
QRコードを読み込む、一般利用者としての悪用手口や詐欺の手口について知りたい場合は、トレンドマイクロが提供している以下の記事もご参照ください

（関連記事）QRコード詐欺（クイッシング）とは？よくある手口や対策について解説

QRコードの作成における悪用手口

ここではQRコードを用いた代表的な2つの悪用手口について説明します。

1. 不正サイトにリダイレクトさせる攻撃

リダイレクト攻撃の概要
QRコードに埋め込まれたURLをリダイレクトさせる手法は、攻撃者がユーザを意図しない不正なWebサイトに誘導するために利用されます。この手口では、QRコードに短縮URLや独自のドメインを埋め込むことで、ユーザがQRコードをスキャンした際に一旦信頼できるWebサイトにアクセスさせ、その後不正なWebサイトに転送することが可能です。この手法は、短縮URLサービスやリダイレクト機能を悪用することで実現されます。

短縮URLサービスを利用して不正サイトにリダイレクトさせる手口
過去のインシデントでは、Webサイトの短縮URLを生成するサービスを利用して、短縮URLをもとにQRコードを作成した複数の事業者において、通信先が意図しないURLに変更されるという事例が発生しました。これにより、QRコードを読み込んだ利用者は意図しないサイトに誘導され、悪意のある攻撃にさらされるリスクがありました。

（参考情報）
「【重要】「大学案内2024」掲載二次元コードの不正リンクについて」（2023年10月30日。学習院大学）
「二次元コードから不正サイトに誘導されるトラブルにご注意ください。」（2023年12月25日。イオンフィナンシャルサービス株式会社）

QRコードを人質に身代金を要求する手口
新しい手口として、「ランサムQRコード」と呼ばれる攻撃が見られています。攻撃者は、最初に正しいURLにリダイレクトさせ、後に悪意のあるURLに変更し、その後正しいURLに戻すために金銭を要求するという手法です。この「ランサムQRコード」攻撃では、ユーザがQRコードをスキャンすると一旦正しいサイトにアクセスできるものの、一定期間後に悪意のあるサイトにリダイレクトされます。攻撃者はこの状況を利用して、正しいURLに戻すための「身代金」を要求します。実際に、他のセキュリティ企業が調査した事例では、このような事例が印刷物に使用されてしまった事例があります。

（参考情報）「QRコードを"人質"に取るビジネス ~ ランサムQRコードの脅威」（2025年9月17日。リチェルカセキュリティ）

2.物理的なQRコードの改ざん

物理的な改ざんとは、印刷されたQRコードの上にシールを貼り付けて別の行動に誘導する、もしくはQRコードがもともと存在しなかった広告の上にQRコードを貼り付けるなどの手口です。

2025年10月には、電車内に掲載されている広告にまったく関係のないサイトのQRコードを貼り付けることによって、広告とは関係のないWebサイトへ誘導されていたというインシデントが発生しました。このようなケースでは、物理的な監視をリアルタイムに行うことが難しく、発見が遅れてしまう可能性があることも懸念点です。
物理的なQRコードの改ざんは、意図しないサイトにユーザを誘導するリスクがあり、特に公共の場での広告においては注意が必要です。

（参考情報）「【報告】京王線内の本学広告へ虚偽のQRコードが貼られた件について」（2025年10月24日。国立大学法人電気通信大学）

QRコード生成サービス選択の陥りがちな「落とし穴」を検証

今回、筆者はQRコード生成サービスを実際に利用して、不正とは言わないまでも、意図しないサイトにリダイレクトされるようなサービスがあるかどうかを確認しました。以下はその検証結果です。

検証の概要

検証は、GoogleとBing、２つの検索エンジン上で「QRコード作成」というキーワードを検索し表示されたWebサイトを用いて行いました。結果は以下の通りです。

●検証日：2025年11月13日と2025年11月21日。
●方法：著名検索サービスである「Google」と「Bing」で、「QRコード生成」でキーワード検索（2025年11月13日）を行った際に表示されたQRコード生成サービスを検証。
●結果：下記の2つのQRコード生成サービスは、8日後（2025年11月21日）の検証で、目的のサイトにリダイレクトしない仕様に変更された。
・Googleによる検索結果の上位11番目に表示されたQRコード生成サービス「α」
・Bingによる検索結果の上位1、２、4番目に表示されたQRコード生成サービス「β」

リダイレクトには2種類のパターンがありましたので、以下に紹介します。

①QRコード生成サービス「α」

生成したQRコードでスキャンしたURLにアクセスすると、英語で「QRがスキャンされました」という文字列が表示されます。広告が表示され、一見すると正規のサイトにどのようにアクセスすればよいかが分かりづらい状態です。広告を表示させることで広告料を徴収している可能性があります。
またQRコードをスキャンする利用者側からすると、即座にアクセスしたいWebサイトには行き着かず、事業者からすれば、UXを損なうリスクもあります。

②QRコード生成サービス「β」

画面：QRコード生成サービス「β」で生成したQRコードのスキャン結果（2025年11月21日）

生成されたQRコードからURLにアクセスすると、「このQRコードは何らかの理由により無効化されました」、「再度有効にするにはここをクリックしてください」と記載されており、クリックするとQRコードを再アクティブ化するための料金を請求されます。

実は、「α」、「β」2つのQRコード生成サービスのWebサイトをよく見ると、Q&Aページが設けられており、それぞれ、サブスクリプション料金を支払うことで、それぞれ「広告なし」（αの場合）、「QRコードのアクティブ状態を維持」（βの場合）ができることが読み取れます。多くの場合、こうしたQRコード生成サービスは「無料」で利用できるものがありますが、後から有償化するサービスもあることを認識しておく必要があります。

QRコード生成サービスに限らず、無料のWebサービスにも「規約」や「利用上の注意」の記述が存在しますが、トップページに分かりやすく案内がない、説明が分かりにくいものもあるでしょう。こうした記述を分かりやすく記載しているところを積極的に選ぶ、という方法は有効でしょう。広告やパンフレット、Webページ製作など、外注業者を使う際にもQRコードの生成を依頼することもあるでしょう。そのような場合でも上記のような注意点を、明確に伝えておくことが必要でしょう。

まとめ

QRコードは便利なツールですが、悪用されたり、トラブルになるリスクも存在します。事業者としては、QRコード自体に問題があり、利用者が被害に遭ってしまうケースが起こり得ることをまず認識する必要があります。その上で、具体的な対策として、以下の3点を挙げたいと思います。

1つ目は、QRコードで読み取られた結果が何であるかを必ず確認することです。QRコードは目視では内容を読み取ることが難しいため、作成したQRコードをQRコードリーダーで読み込ませることで、どのような文字列が記載されているのか自分自身で確認しておくことをお勧めします。併せて、ＱＲコード生成の”数日後”にも読み直してみるなど、念を入れて確認することも推奨します。

2つ目は、目視で確認することです。生成されたQRコードに違和感がないか、また定期的に掲示物を巡回し定期的に読み取って確認するなど、物理的な違和感が生じていないかどうかを確認しておくことが重要です。
セキュリティ意識を高め、安全にQRコードを生成・利用しましょう。

3つ目は、QRコード生成サービスを利用する場合、どのような挙動をするサービスなのか、規約や注意点をよく読んで利用することです。特に複数人数や外部の協力者が参画するプロジェクトの場合、こうした細かい点が見落とされがちなので、担当者は注意点を把握しておく必要があります。

＜関連記事＞
・ダークパターンとは？企業にとってのリスクを解説
・Webスキミングとはどのような攻撃なのか？～決済情報の非保持化でも被害に遭う脅威～
・ClickFix（クリックフィックス）とは？多様な攻撃に悪用されるソーシャルエンジニアリングの手口