店頭の注文・予約、イベント受付、キャンペーン応募など、QRコードは顧客導線として一般的になってきました。一方で近年、正規のQRコードの上に偽のQRコードを「上貼り」し、偽サイトへ誘導するフィッシング（Quishing/クイッシング）が問題になっています。

クイッシングで厄介なのは、被害者が顧客であっても、問い合わせ対応・信用毀損・補償判断などの負担が企業側に集中する点です。

この記事では、自社のQRが差し替えられて顧客被害につながる事態を起こさないために、企業が押さえるべき対策をチェックリスト形式で整理します。

さらに、万一発生した場合でも被害拡大と信用毀損を最小化できるよう、初動の要点もあわせてまとめますので、参考になさってください。

この記事を読むとわかること

• Quishing（QRコードフィッシング）の概要
• 企業がまず優先すべき予防策（作り方や掲示・点検、注意書き）
• 万一発生した場合の“被害拡大を防ぐ初動”
• リンク先サイトの安全性を担保する考え方

クイッシングとは？QRコードで偽サイトへ誘導するフィッシング

クイッシング（Quishing）は、偽のQRコードを読み取らせてフィッシングサイトへ誘導し、ID・パスワードやカード情報などを入力させるフィッシング攻撃です。

ユーザーがQRコードからのアクセスに慣れていないと、遷移先URLを確かめないままアクセスしてしまい、不正サイトへ誘導される可能性があります。

また、QRコードが店舗や掲示物などに設置されるほど、第三者が上から偽QRを貼り付ける余地が増え、企業の信用を直撃する差し替え被害につながりやすくなります。

よくあるクイッシングの手口

• 上貼り（差し替え）型：正規QRの上に偽QRステッカーを貼る
• 配布物混入型：チラシ、案内PDF、請求書などに偽QRを混ぜる
• 急かし型：期限・未払い・特典などですぐ行動させる

クイッシングによる顧客被害を防ぐ理由

このような被害があるクイッシングは、単にブランドイメージが落ちるだけでなく、問い合わせ対応の増加や全拠点での点検・撤去、告知文面の整備、原因調査と再発防止など、短期間に大きな工数を生みます。

さらに、被害申告が出れば補償判断や法務対応も必要になり、CS・現場・情シス・法務といった複数部門を巻き込む業務インシデントになりやすい点がリスクです。

こうした負担と信用毀損を避けるためにも、次章で紹介するチェックリストに沿って、企業側で予防策を整備しておきましょう。

クイッシング対策のチェックリスト

ここでは、店舗・拠点・イベントなどでQRコードを設置する企業が、クイッシング対策をチェックリスト形式で整理します。
自社の運用に照らし合わせながら、抜け漏れがないか確認してください。

1.QRコードの「作り方」で被害を減らす

• QRコードの下に正規URLを併記する
• 短縮URLの多用を避け、公式ドメインを明確にする
• 「検索から公式サイトから開くための」案内文を入れる（例：「〇〇公式で検索」など）

ＱＲコードだけを提示するのではなく、正規のURLの提示や、自分で検索して入れるような文言を記載しておくと、不審なサイトにつながった場合にユーザーが確認することができます。

2.掲示・点検の「運用」で差し替えを見つける

• 点検をルール化する（始業/終業、イベント開始前など）
• 上貼り跡を確認する（段差・ズレ・気泡・剥がし跡）
• 台紙を管理する（管理番号、設置責任者、定期交換）
• 代替導線を用意する（QRコードを使わない方法の案内）

QRコードを運用する際は、定期的に点検を行う運用にすることが大切です。もし、QRコードが上書きされていたら、掲示物を交換しましょう。

3.顧客向け「注意書き」で被害拡大を止める

• QRコード入力後の画面のスクリーンショットを印刷物で提示する
• 不審時の連絡先（窓口/フォーム）を掲示する

ユーザーは、公式サイトがどのようなデザインであるのか知らないこともあります。そのため、公式サイトのスクリーンショットを掲示物に加えておくことも有効です。

もしクイッシングが自社で起きたら？初動について

クイッシングの疑いが出た場合は、まず被害拡大を止めることが最優先です。該当店舗・拠点や掲示物のQRコードを一斉に点検し、疑わしいものは速やかに撤去します。
あわせて、偽QRコードの遷移先URL、被害申告の内容、設置されていた可能性がある期間を確認し、被害の状況を整理してください。

次に、顧客向けの一次対応（告知）を行います。正規URLと問い合わせ窓口を明示し、注意喚起と必要な手続き案内を提示します。

最後に、QRコードが掲載されている展示物や配布物の点検、注意書きや社員教育の見直しをして運用に落とし込み、再発防止策を整備します。

リンク先（自社サイト）の安全性もセットで考える

QRコードからのアクセスを利用した業務形態を検討、またはすでに運用している場合、自社サイトの安全性についてもセットで検討する必要があります。

まず、サイトが改ざんされないように、安全性に配慮したサーバでサイトを運用することが大切です。特に注文や予約、会員登録など「個人情報が集まるページ」は、監視・防御・バックアップまで含めた運用体制が求められます。

株式会社サイバーウェイブジャパンでは、Webサイトの受け皿として「CWJ クラウドホスティング」や「CWJ クラウドプラットフォーム」などのサービスを提供しています。

その他にも、業務に役立つシステムをご提案していますので、業務のIT化やクラウド化についてお悩みがある方はお気軽にご相談ください。
「どのようなサービスを選べばいいのかわからない」という方も、専門のコンサルタントが対応いたします。

お問い合わせはこちら

この記事のポイント

• 1.クイッシングとは？

  偽のQRコードでフィッシングサイトへ誘導し、名前や電話番号、カード番号などの重要な情報を入力させる手口です。

  詳しくは「クイッシングとは？QRコードで偽サイトへ誘導するフィッシング」をご覧ください。

• 2.クイッシング対策で、企業が行うべきことは？

  • 正規URL併記など“作り方”を見直す
  • 点検運用で“上貼り”を見つける
  • 注意書きと窓口で“拡大”を止める

  詳しくは「クイッシング対策のチェックリスト」をご覧ください。

また、QRコードを利用した業務形態では、サイトの改ざん・停止を防ぐ運用（監視・防御・バックアップ）までセットで整備しましょう。
安全性に配慮したクラウドサーバをお探しの方は、株式会社サイバーウェイブジャパンまで、お気軽にお問い合わせください。

お問い合わせはこちら