事業者のためのQRコード生成ガイド:安全に作成するためのポイント
スマートフォンを前提とした様々なサービスに利用される「QRコード」。これを悪用する様々なトラブルも存在します。事業者としてQRコードを利用する際に、気を付けたいポイントを考察・検証しました。
公開日:2025年12月16日
更新日:2025年12月19日
はじめに
2次元バーコードの1つ、QRコードは、スマートフォンやタブレットを使って簡単に情報を取得できる便利なツールとして、決済、情報提供、マーケティングなどのさまざまな場面で利用されています。しかし、その普及とともに、QRコードを悪用したサイバー犯罪も確認されています。
本稿は、「チラシや広告にQRコードを作成して掲載したい」などのQRコードを作成する必要性に直面している”事業者”向けの記事です。QRコード発行時に気をつけるべきポイントに焦点を当て、注意したい手口を解説します。
そのため、QRコードの仕組みや基本的な作り方については割愛し、具体的な悪用手口とその対策に重点を置いています。
QRコードを読み込む、一般利用者としての悪用手口や詐欺の手口について知りたい場合は、トレンドマイクロが提供している以下の記事もご参照ください
(関連記事)QRコード詐欺(クイッシング)とは?よくある手口や対策について解説
短縮URLサービスを利用して不正サイトにリダイレクトさせる手口
過去のインシデントでは、Webサイトの短縮URLを生成するサービスを利用して、短縮URLをもとにQRコードを作成した複数の事業者において、通信先が意図しないURLに変更されるという事例が発生しました。これにより、QRコードを読み込んだ利用者は意図しないサイトに誘導され、悪意のある攻撃にさらされるリスクがありました。
(参考情報)
「【重要】「大学案内2024」掲載二次元コードの不正リンクについて」(2023年10月30日。学習院大学)
「二次元コードから不正サイトに誘導されるトラブルにご注意ください。」(2023年12月25日。イオンフィナンシャルサービス株式会社)
QRコードを人質に身代金を要求する手口
新しい手口として、「ランサムQRコード」と呼ばれる攻撃が見られています。攻撃者は、最初に正しいURLにリダイレクトさせ、後に悪意のあるURLに変更し、その後正しいURLに戻すために金銭を要求するという手法です。この「ランサムQRコード」攻撃では、ユーザがQRコードをスキャンすると一旦正しいサイトにアクセスできるものの、一定期間後に悪意のあるサイトにリダイレクトされます。攻撃者はこの状況を利用して、正しいURLに戻すための「身代金」を要求します。実際に、他のセキュリティ企業が調査した事例では、このような事例が印刷物に使用されてしまった事例があります。
(参考情報)「QRコードを"人質"に取るビジネス ~ ランサムQRコードの脅威」(2025年9月17日。リチェルカセキュリティ)
2.物理的なQRコードの改ざん
物理的な改ざんとは、印刷されたQRコードの上にシールを貼り付けて別の行動に誘導する、もしくはQRコードがもともと存在しなかった広告の上にQRコードを貼り付けるなどの手口です。
2025年10月には、電車内に掲載されている広告にまったく関係のないサイトのQRコードを貼り付けることによって、広告とは関係のないWebサイトへ誘導されていたというインシデントが発生しました。このようなケースでは、物理的な監視をリアルタイムに行うことが難しく、発見が遅れてしまう可能性があることも懸念点です。
物理的なQRコードの改ざんは、意図しないサイトにユーザを誘導するリスクがあり、特に公共の場での広告においては注意が必要です。
(参考情報)「【報告】京王線内の本学広告へ虚偽のQRコードが貼られた件について」(2025年10月24日。国立大学法人電気通信大学)
3.「誤り訂正機能」を悪用した偽造QRコード
QRコードには、誤り訂正機能が備わっています。この機能は、QRコードが一部破損したり汚れたりしても、情報を正確に読み取れるようにするためのものです。QRコードの開発元であるデンソーウェーブは、QRコードが工場や倉庫などの過酷な環境でも使用されることを想定していました。そのため、QRコードの一部が欠損していても、全体の情報を復元できるように設計されています。
この誤り訂正機能を悪用することで、偽造QRコードを作成し、一部のトラフィックを不正サイトに誘導することが可能であることが、神戸大学の森井教授の研究グループの研究で分かりました(2018年)。
前述の森井教授による調査では、QRコードに黒と白以外に判別が難しいグレーのマスを加える※ことで、このエラー訂正機能の判定のブレを利用する手法が証明されています。
具体的には、QRコードの一部にグレーのマスを配置し、スキャンするデバイスによってそのグレーのマスが白と判断される場合と黒と判断される場合に分かれることで、異なる結果を導き出すことができます。
この手法により、正常なQRコードに見えるが、数回に一度意図しないアクセス先にリダイレクトされる偽造QRコードが作成されるのです。
※厳密には、グレーのマスの他、白いモジュールに小さなドットを付加する、QRコード全体や一部を歪ませる、など視覚的に分かりづらい方法で可能とされている。
(参考情報)
「2次元コードが経済の動きを加速させる:2.2次元コード決済とその安全性 -2次元コードの潜在的脆弱性-」(2022年5月15日。会誌「情報処理」 Vol.63(2022) No.6)
「気を付けろ!QRコードに脆弱性? その深刻さと騙されないための対策」(2018年6月24日。森井 昌克氏)」
「隠された情報がたまにスキャンされるQRコードを簡単に作る方法」(2018年6月25日。福地 健太郎氏)
「偽造QRコードはこう働く!実際に試してみた」(2019年11月19日。Smart Sound Lab)
QRコード生成サービス選択の陥りがちな「落とし穴」を検証
今回、筆者はQRコード生成サービスを実際に利用して、不正とは言わないまでも、意図しないサイトにリダイレクトされるようなサービスがあるかどうかを確認しました。以下はその検証結果です。
検証の概要
検証は、GoogleとBing、2つの検索エンジン上で「QRコード 作成」というキーワードを検索し表示されたWebサイトを用いて行いました。結果は以下の通りです。
●検証日:2025年11月13日と2025年11月21日。
●方法:著名検索サービスである「Google」と「Bing」で、「QRコード 生成」でキーワード検索(2025年11月13日)を行った際に表示されたQRコード生成サービスを検証。
●結果:下記の2つのQRコード生成サービスは、8日後(2025年11月21日)の検証で、目的のサイトにリダイレクトしない仕様に変更された。
・Googleによる検索結果の上位11番目に表示されたQRコード生成サービス「α」
・Bingによる検索結果の上位1、2、4番目に表示されたQRコード生成サービス「β」
リダイレクトには2種類のパターンがありましたので、以下に紹介します。
①QRコード生成サービス「α」
生成したQRコードでスキャンしたURLにアクセスすると、英語で「QRがスキャンされました」という文字列が表示されます。広告が表示され、一見すると正規のサイトにどのようにアクセスすればよいかが分かりづらい状態です。広告を表示させることで広告料を徴収している可能性があります。
またQRコードをスキャンする利用者側からすると、即座にアクセスしたいWebサイトには行き着かず、事業者からすれば、UXを損なうリスクもあります。
②QRコード生成サービス「β」
生成されたQRコードからURLにアクセスすると、「このQRコードは何らかの理由により無効化されました」、「再度有効にするにはここをクリックしてください」と記載されており、クリックするとQRコードを再アクティブ化するための料金を請求されます。
実は、「α」、「β」2つのQRコード生成サービスのWebサイトをよく見ると、Q&Aページが設けられており、それぞれ、サブスクリプション料金を支払うことで、それぞれ「広告なし」(αの場合)、「QRコードのアクティブ状態を維持」(βの場合)ができることが読み取れます。多くの場合、こうしたQRコード生成サービスは「無料」で利用できるものがありますが、後から有償化するサービスもあることを認識しておく必要があります。
QRコード生成サービスに限らず、無料のWebサービスにも「規約」や「利用上の注意」の記述が存在しますが、トップページに分かりやすく案内がない、説明が分かりにくいものもあるでしょう。こうした記述を分かりやすく記載しているところを積極的に選ぶ、という方法は有効でしょう。広告やパンフレット、Webページ製作など、外注業者を使う際にもQRコードの生成を依頼することもあるでしょう。そのような場合でも上記のような注意点を、明確に伝えておくことが必要でしょう。
まとめ
QRコードは便利なツールですが、悪用されたり、トラブルになるリスクも存在します。事業者としては、QRコード自体に問題があり、利用者が被害に遭ってしまうケースが起こり得ることをまず認識する必要があります。その上で、具体的な対策として、以下の3点を挙げたいと思います。
1つ目は、QRコードで読み取られた結果が何であるかを必ず確認することです。QRコードは目視では内容を読み取ることが難しいため、作成したQRコードをQRコードリーダーで読み込ませることで、どのような文字列が記載されているのか自分自身で確認しておくことをお勧めします。併せて、QRコード生成の”数日後”にも読み直してみるなど、念を入れて確認することも推奨します。
2つ目は、目視で確認することです。生成されたQRコードに違和感がないか、また定期的に掲示物を巡回し定期的に読み取って確認するなど、物理的な違和感が生じていないかどうかを確認しておくことが重要です。
セキュリティ意識を高め、安全にQRコードを生成・利用しましょう。
3つ目は、QRコード生成サービスを利用する場合、どのような挙動をするサービスなのか、規約や注意点をよく読んで利用することです。特に複数人数や外部の協力者が参画するプロジェクトの場合、こうした細かい点が見落とされがちなので、担当者は注意点を把握しておく必要があります。
<関連記事>
・ダークパターンとは?企業にとってのリスクを解説
・Webスキミングとはどのような攻撃なのか?~決済情報の非保持化でも被害に遭う脅威~
・ClickFix(クリックフィックス)とは? 多様な攻撃に悪用されるソーシャルエンジニアリングの手口
Security GO新着記事
2026年の法人セキュリティ脅威予測レポートの概要を解説~サイバーリスクの震源地「AI」の今後を知る
(2025年12月25日)
事業者のためのQRコード生成ガイド:安全に作成するためのポイント
(2025年12月19日)
アサヒグループへのランサムウェア攻撃事例を記者会見から考察~今、注意すべき「データセンター」への侵害
(2025年12月18日)