「家賃振込」でQRコード詐欺？詐欺の特徴や対策とアプリに潜む危険性

2025年までに『キャッシュレス決済比率4割』を目指す政府方針の後押しもあり、電子マネーは私たちにとって従来よりもはるかに身近な存在になりました。

MMDlabo株式会社が2023年に18～69歳の男女2万5,000人に対して行ったアンケートによれば、「QR・バーコード決済サービスの利用する」と答えた人は全体の70.3％を占めており、その割合は今後さらに増加することが予想されます。（参考元：『利用率最多のQRコード決済は「PayPay」／2位は「楽天ペイ」3位は「d払い」／MMDLabo調査』MarkeZine（令和６年5月取得）

しかし、私たちの生活にキャッシュレス決済が浸透していく一方で、ここ数年でQRコードの不正利用による詐欺犯罪件数が急激に増え始めています。

QRコードが日常的に利用されるようになった今、私たちが詐欺被害に遭わないためにはどのような点に気を付ければ良いのでしょうか？

今回の記事ではそんなQRコード詐欺の概要や、詐欺被害を未然に防ぐためのポイントについて実際に起きた事件とともに解説していきます。

QRコード詐欺（クイッシング）の概要

ざっくり分類すると、QRコード詐欺はいわゆるフィッシング詐欺の一種と言えます。

フィッシング詐欺と言えばメールやショートメッセージ等を使って被害者を不正URL等へ誘導して個人情報を盗んだり被害者自身に送金をさせる手口ですね。

この過程でQRコードを使用するものが『QRコード詐欺』（別名『クイッシング』）と呼ばれる詐欺犯罪です。

これまでもQRコード詐欺の被害件数はゆるやかに伸びていたものの、2024年に入ってからは従来のおよそ40倍に膨れ上がるなど爆発的な増加傾向を見せており、今後の被害拡大が懸念されています。

危険なQRコードの見抜き方は「存在しない」

結論を先に言うと、詐欺に利用されている危険なQRコードを一目で見抜く方法は存在しません。試しにクイズをしてみましょう。

クイズ：『危険』なQRコードはどっち？

次のふたつのQRコードのうち、一方は「あたり」でもう一方は「はずれ」というテキスト情報が組み込まれています。あなたにはどちらが「はずれ」のQRコードかわかりますか？

このようにQRコードは読み込んで初めて意味が分かるもので、一見しただけでは中身がわからないのがその特長です。

前後の文章の『違和感』を見抜くこと

QRコード詐欺では今ご説明した特性を利用して「私たちが思わず読み込みたくなる」ような文章がその前後に加えて拡散をします。例えば次の画像を見てください。

前後に文章が加えられるだけで、なんとなくＱＲコードの中身に興味が沸かないでしょうか？

このような誘導以外にも「通販サイトのクレジットカード情報が誤っている」「不正ログインされた可能性がある」など、詐欺師は私たちが「ちょっと内容を見てみたくなる」「見なければいけない気持ちになる」誘い文句を使ってＱＲコードを読み取らせようとします。

ＱＲコードそのものから危険性を判断することは不可能ではありますが、こうした『前後の文章の違和感』を見抜くことは詐欺被害の未然防止に役立つと言えるでしょう。

手口や特長と実際の事件

ここからはQRコード詐欺の手口と特長について具体的に解説いたします。
過去の事件を追ってみると、国内外で発生しているQRコード詐欺の手口は大きく次のようなパターンに分類されます。

それぞれの手口について実際の事件をもとに詳しく見ていきましょう。

通販サイト・銀行・行政機関等を装うケース

フィッシング詐欺と同様に詐欺師が通販サイトや実在する企業・著名人、行政機関等を装って被害者をだまし、個人情報や金銭を奪い取るケースです。

実際に日本国内で起きた事件をひとつご紹介します。

「家賃の支払いをオンライン化する」

次の画像は2022年10月～11月にかけて愛知県岩倉市の集合住宅に投函されていたチラシです。

投函されたチラシには『家賃に関する重要なお知らせ』というタイトルと一緒に次のような文言が掲載されています。

家賃の支払いをオンライン化する事に決定しました。詳細や流れは下記公式●●を追加し、そちらに沿ってお進みください。●●の友達追加機能や、QR読込アプリで追加お願いします。

当時チラシを受け取った住人の男性がこのチラシに掲載されたＱＲコードを読み取ったところLINEアカウントへ誘導され、そのアカウントから支払方法の指示を受けて『２カ月分の家賃』として１０万６千円を振り込んでしまったそうです。

男性はその後もしばらく詐欺被害に遭っていることに気づかなかったものの、管理会社から「家賃の振り込みが無い」ことを指摘され初めて自身が詐欺被害者であることを自覚しました。

この事件では2023年8月に派遣社員の40代男性が詐欺の疑いで逮捕されたことで幕を閉じていますが、今後も同じような詐欺行為が行われる可能性は非常に高いといえます。

もしも実在する企業や行政を語る相手からQRコードによる手続きを促された場合でも、送金や個人情報を求められる場合には一度詐欺を疑ったほうが安全と言えます。

（参考：『「家賃はオンラインで」虚偽のチラシ投函、10万円詐取疑いで男逮捕(朝日新聞オンライン) | 全員で訴訟ZENSHO』ZENSHO.令和6年5月取得）

デバイスをマルウェア（ウイルス）感染させるケース

こちらの事例はシンガポールのタピオカティー専門店で起きた事件です。

事件の概要は「60代女性がお店を訪れドアに張られていた『アンケートに答えて１杯無料』のチラシからQRコードを読み取りアプリをダウンロードしたところ、夜間に口座から2万シンガポールドル（約230万円）が勝手に送金されていた」というものです。

実は女性がダウンロードしたアプリはタピオカティー専門店とは全く無関係の人物が作った『偽アプリ』で、『偽アプリ』内にはダウンロードしたスマートフォンをマルウェア（ウイルス）感染させるためのプログラムが仕込まれていたのです。

マルウェア感染した女性のスマートフォンは詐欺師によって遠隔から乗っ取られ、女性が寝静まった深夜のうちにオンラインの手続きを通して大金が抜き取られてしまっていたのでした。

タピオカティー専門店のドアに張られていたチラシを一体だれが作って掲載したのか元の記事では明らかにされていませんが、店員の目に届くレジ前等ではなく『ドア』であったことを考えるとこのチラシ自体がお店と無関係の第三者によって偽造されたものという可能性は否めません。

QRコードを読み取った後で勝手に不審なファイルやアプリのダウンロード（インストール）が始まった場合はすぐに機内モードに切り替えるなどの対策を行って被害の拡大を防いでください（より詳しい対処法について後ほどご紹介します）。

（参考元：『Woman who scanned QR code with malware lost $20k to bubble tea survey scam while she was sleeping』.The Straits Times.令和6年5月取得）

URLが不正に変更されたケース

こちらはちょっと『番外編』になりますが、皇族も通われる名門『学習院大学』や、カー用品販売の大手『オートバックス』を運営する株式会社オートバックスセブンが被害に遭った手口です。

すこしややこしい話になりますので、内容に興味のある方や、お仕事でQRコードを取り扱う機会のある方だけお読みください。

大学や企業の『公式HP』でQRコード詐欺？

2023年10月～11月の間に立て続けに発覚したこの事件ですが、特徴的なのは詐欺行為に使用されていたＱＲコードが掲載されていたのはどちらも正真正銘の『公式組織・企業が制作した出版物』であったということです。次の画像はＱＲコードが掲載された出版物の一部です。

掲載されているＱＲコードを読み込むと本来とは異なるサイトへ誘導される現象が起き、一部からは「誘導されたサイトで個人情報を求められた」という証言もあったそうです。

被害報告を受けた学習院大学や株式会社オートバックスセブンはそれぞれ声明文を出し、当該ＱＲコードを読み込まないよう注意喚起をしています。

これらの事件について両者ともに原因を明らかにはしていませんが、ITセキュリティの専門家からは「企業側ではなく『外部サービス』内で不正が行われた可能性が高い」と推察しています。

原因は『短縮URL』？

ここからが少しややこしい話になりますが、この不正が行われた『外部サービス』というのが『短縮URLサービス』ではないかと言われています。

知らない方のために簡単にご説明をすると『短縮URLサービス』は昔固定電話にあった『短縮ダイヤル』機能のようなもので、誰でも無料で利用できるWEBサービスの一種です。

『短縮URLサービス』は長々としたURLを簡潔にまとめてくれたり、企業側からすればアクセス数の解析に利用できるメリットもあるため※、一般的にはあまり認知されていないだけで日常的に使用されています。※一部サービスに限ります

今回の事件ではオートバックスも学習院大学もこの『短縮URL』を利用してURLをQRコードに組み込んでいましたが、2023年10月以降にこの『短縮URL』の転送先情報が「外部の何者かによって不正に書き換えられた」可能性が高いとされているのです。

イメージとしては「『転居届』の転送先住所が提出後に勝手に変更された」ようなものですね。転居届を出した本人は、転送先が切り替わったことを知る由もありません。

『短縮URL』のサービス自体はWEB上で誰でも利用可能ですが、そのサービス自体の安全性については必ずしも保障されるわけではありません。

企業側がQRコードを掲載した当初に正常に作動していたとしても、後日悪意のある人物が勝手に設定を書き換えてしまえば企業側が事態に気づくことも遅れ、被害は拡大していきます。

あくまで可能性の話ではありますが、もしもQRコードを読み込んだ際に表示されたURLが『短縮URL（身近いURLで、無意味な文字が並んでいるのが特徴です）』である場合や、たとえ見ていたのが公式のホームページだとしても、転送先のページで個人情報を求められた際などは十分に注意してください。

『QRコード読み取りアプリ』が危険？

QRコード詐欺について調べていると「アプリを使っていたら勝手に有料の定期契約を結ばされていた」「アプリそのものが詐欺で危険」といった口コミも散見されます。

確かにアプリの制作者に悪意があった場合には「アプリをインストールしたことによってマルウェア感染する」危険性はゼロではありません。

ただし、現代のスマートフォン、特にiPhoneの場合はマルウェア感染の可能性はもともと低く、androidでもセキュリティソフトのチェック機能を有効にしていれば完成のリスクは大幅に下がると言われています。（参考元：『スマホのマルウェアは削除できるの？無料アプリ利用の危険性とは？』Canon.令和6年5月23日取得）

「アプリをインストールしたことによって意図しない契約を結ばれてしまった」というケースでは、どちらかと言えば『被害者自身がアプリ上に表示される広告をタップしてしまっている』可能性が非常に高いでしょう。

こうした広告表示付きで利用できるアプリは通称『アドウェア』と呼ばれ、アプリのシステムそのものに違法性が無い場合でも、中には「無料で利用できる代わりにやたらめったらに広告が表示される」「ワンタップで契約まで済んでしまう」など、かなり強引なやり口で広告収入を得ようとするものも存在します。

ちなみに、画像下部に表示されているこちらの広告は『リンク先でクレジットカード情報を求められた』といった口コミも存在していました。

Kosavuとかいうフィッシング広告が出てきてクレジットカード情報を要求された

— Tomiya 👉️ (@TomiyaMuller) May 21, 2024

クレカの情報入力なんて引っかかるわけないと思ってましたが、ちょっと前にkosavuってやつに引っかかってしまいました。サイトのボタンに非常にうまく擬態しています。メール送って解約完了確認までしましたが、結局引き落とし来たのでやってしまった人は早急にカード停止がマストです。 pic.twitter.com/LoQW0iDmur

— はな🌼ポイ活&本当に買って良かったもの紹介 (@hana_point_) April 7, 2024

QRコード読み取りアプリに限った話ではありませんが、アドウェアを利用する際には広告をクリックしたことで詐欺被害にあってしまったり意図しない契約を結んでしまわないよう注意してください。

QRコード詐欺に引っかかってしまったら

もしQRコードに引っかかってしまった疑いがある場合は決してそのままにせず、次に紹介する方法を参考にすぐに対処をしてください。

①スマートフォンは『機内モード』に

これは特にマルウェア感染の疑いがある（不審なアプリをダウンロードした）場合の対処法です。
※マルウェア感染の可能性が無い場合は②へ読み飛ばしてください。

なお、マルウェア感染したスマートフォンの特徴としては以下のようなものが挙げられます。

マルウェア感染の可能性が認められた場合は、被害の拡大を防ぐためにまずは可能な限り早くスマートフォンを『機内モード』へ切り替えてください。他の端末への感染を防ぐためBluetooth機能もoffにした方が良いでしょう。

スマートフォンをネットワークから遮断したあと、アプリの一覧から『インストールした覚えのないアプリ』や『不審なアプリ』があればすべてアンインストールします。

アンインストール後、セキュリティアプリでスキャンを行ってウィルスが検知されないことを確認してください。

また、スマートフォンの復旧と並行して銀行口座やクレジットカードの不正利用が無いかを必ず確認しましょう。
不正利用が無かった場合でも念のためにオンライン銀行やクレジットカード情報を紐づけているサイト、SNS等のIDとパスワードは順次変更してください（もしも不正利用を確認した場合はこの後ご紹介する対処法②を実行してください）。

ちなみに、上記のすべての対処をしてもスマートフォンが復旧できない場合は最終手段として端末の初期化が必要となります。

②クレジットカード会社・銀行へ連絡

詐欺被害に遭ったことが分かったら、早急にクレジットカード会社または銀行へ「詐欺被害に遭った可能性がある」ことを連絡してください。これには『被害拡大防止』のほかにもうひとつの意味があります。

というのも、各クレジットカード会社や銀行には本人・家族以外の第三者によるカードの不正利用または出金があった際に返金を保証する制度があります（全額返金あるいは本人の過失度合によって返金額は変動します）。

連絡した時にはすでに不正利用による損失が出ていたとしても、クレジットカード会社や銀行から『不正使用と認められた』場合には規定に基づき返金が行われるのです。

ただし注意が必要な点として、こうした返金保証制度には『届け出た日からさかのぼって●●日以内の不正利用のみ保障する』といった補償対象期間の制限があります。

例えば「届出日の60日前からその損害を補償する」という規約の場合、不正利用が起きた日から61日後に気が付いて届け出を出しても返金保証の適用外になってしまうのです。

補償対象期間はクレジットカード会社なら『連絡した日から60日以内』、銀行なら『30日』のところが多いようですが、規定は会社によって大きく異なりますのでご自身の契約内容をよくご確認ください。

いずれにしても、詐欺被害に遭っていることが分かったら早急に関係窓口へ相談するようしましょう。

主要銀行のお問い合わせ先

• 三菱東京UFJ：0120-543-555、042-311-7000
• 三井住友銀行：0120-28-6079
• みずほ銀行：0120-324-878
• りそな銀行：0120-073-989
• ゆうちょ銀行：0120-108-420

③無料相談可能な公的相談窓口

クレジットカード会社や銀行への連絡がひと段落したら、詐欺被害の内容について公的機関へ相談することをおすすめします。

理由としては、例えば『大手通販サイトのIDパスワードを教えてしまった』ような場合はクレジットカード情報のみならず『被害者の住所』『氏名』『電話番号』なども相手が把握している可能性が高いためです。

マルウェア感染した場合にはより多くの個人情報が抜き取られているリスクがあるため、被害の規模が『クレジットカードや銀行口座の不正利用』だけにとどまらない可能性があるのです。

決して楽観視せず、下記に紹介するような期間へ相談したうえで専門家の指示に従ってください。

①各都道府県の『消費生活相談窓口』

②警察相談専用電話

被害金を取り戻す方法

上記でご紹介した公的機関では『被害拡大防止の助言』等はしてはもらえますが、例えば各金融機関の不正利用の『補償対象期間』を過ぎている場合等に「被害金を取り返したい」「クレジットの請求を取り消してほしい」といった要望には対応ができません。

こうした場合は『弁護士』が被害者の代理人となって金融機関と交渉することで、請求を取り消してもらえる可能性があります。

特に犯人がすでに逮捕されている場合には示談交渉を進めたり、法的手段として損害賠償を請求できるケースもありますので、対処が遅れてしまい返金が出来なかった場合等には弁護士へまず相談をしてみてください。

『なんどでも相談料０円』の弁護士・司法書士なら

「とりあえず話だけ聞いてみたい」「自分の場合は返金可能か知りたい」という方にお勧めなのが『イーライフ司法書士法人(旧 平柳司法書士事務所)』です。

弁護士・司法書士事務所の中には『相談だけでも費用が発生する』『初回のみ相談無料』のところも存在しますが、イーライフ司法書士法人であれば何度でも無料で相談することが可能。

解決の速さという点でも『１～３カ月』と非常に短期間で返金までこぎつけた実績が多いため「できるだけ早く、費用を抑えて詐欺被害を解決したい」という方にピッタリといえます。

泣き寝入りをする前に一度相談してみてください。

イーライフ司法書士法人(旧 平柳司法書士事務所)

まとめ

詐欺犯罪は年々手口が功名化してきており、どんなに自衛を徹底している人でも『ある日詐欺被害者になってしまう』リスクは常にあります。

QRコード詐欺は近年になりようやく大々的な報道され始めましたが、世間的な認知度はまだ低いため、今後被害件数が増えていくことが予想されます。

万が一あなたが詐欺被害に遭っていることに気が付いたらすぐに今回ご紹介した対処法を取って、自力で対処が難しい場合には弁護士や司法書士といった専門家の力を借りるようしてください。