What is a QR code scam (quishing)?

A QR code scam is any attack that uses a QR code as the delivery vehicle. The QR can be on a sticker, a flyer, an email, a hijacked dynamic QR, a screen at a kiosk, or printed on physical merchandise. The attacker's goal is usually one of three things: take you to a phishing site, join your phone to a malicious network, or get you to approve a transaction (crypto, payment, credential release) that benefits them. The term 'quishing' (QR phishing) is industry shorthand; the FBI and FTC have issued public advisories about it since 2024.

Are QR codes themselves dangerous?

No. A QR code is just an encoding of text, like a really compact way to type a URL. The danger is in what the text instructs your phone to do: open a URL, join a network, approve a transaction. The same scams are possible with a typed URL or a tap-to-pay terminal; QR just makes the attack faster because you scan without reading. The defense is the same defense as for any URL or terminal: read what's there before you act.

How do I check a QR before scanning?

Use a scanner that decodes the QR and shows you the destination BEFORE opening it. That's what our scanner at check.qr.abundera.ai does, drop the QR (image, paste, or camera), and it shows you the decoded payload, the redirect chain, who controls the destination, and reputation flags. Then you decide whether to open the URL or take the action. Most built-in phone scanners just open the URL; you want one that pauses first.

Which QR scams should I worry about most in 2026?

The biggest-volume scam is still sticker-swap on parking meters, restaurant menus, and EV chargers, physical sticker over the legitimate QR, link to a fake payment page. After that: evil-twin Wi-Fi at airports and conference centres; passkey-QR phishing where an attacker tricks you into pairing a passkey to their device; authenticator-export theft (someone borrowing your phone for 'a quick photo' to export your Google Authenticator codes); and crypto drainer QRs at NFT events. Boarding-pass photo posting on social media is also surprisingly common, IATA's barcode encodes the booking reference that lets attackers cancel or modify the trip.

フィールドガイド

2026年に注意すべきQRコード詐欺

QRコードは単なるエンコードされた文字列です。危険なのはフォーマット自体ではなく、その文字列があなたのスマートフォンに何をさせるかということ、そして通常は内容を確認せずにスキャンしてしまうことです。現在実際に起きている10の攻撃手法、それぞれの現場での見た目、そしてタップする前に見分ける方法を紹介します。

今すぐQRを確認 → 対応QR規格 →

1. 駐車メーター・メニュー・EV充電スタンドのステッカー差し替え

どのような見た目か： 駐車メーター、レストランのメニュー、EV充電スタンド、セルフレジの正規QRの上に、小さな粘着ステッカーがきれいに貼られています。ステッカーのQRは本物と見た目が同じです。スキャンすると、市や飲食店のものに見える決済ページに誘導されます。支払うと、お金は攻撃者のもとへ。米国の大都市（サンアントニオ、オースティン、ヒューストン）では2023〜2024年に被害が出ており、EV充電スタンドのステッカーは2024〜2025年に急増しました。

見分け方： QRをよく見てください。表面に直接印刷（刻印、塗装、ラミネート下に埋め込み）されていますか？それともステッカーですか？端に爪を当ててみてください。浮いたらステッカーです。駐車メーターとEV充電スタンドの正規QRはほぼ常に恒久的なものです。メニューの場合は、どの決済ページが正規かスタッフに確認してください。正規の事業者は喜んで確認してくれます。また、タップする前にQRを当スキャナーにかけてください。デコードされた目的地が手がかりになります。

詳細：EMVCo加盟店決済QR →

2. 空港・ホテル・会議センターでのEvil-Twin Wi-Fi

どのような見た目か： 無料Wi-Fiを宣伝する印刷カードやステッカー：「Airport_Free_WiFi」「Starbucks_Guest_2」「ConferenceGuest」。QRをスキャンするとスマートフォンがネットワークに接続され、インターネットが使えます。しかしそのネットワークは、同じ部屋で稼働している攻撃者のスマートフォンホットスポットです。トラフィックを本物のインターネットに中継するため何も壊れているように見えませんが、攻撃者はDNSクエリ、SNIホスト名、HTTPフォールバックトラフィックを傍受でき、認証情報を求める偽のキャプティブポータルを提供することもできます。

見分け方： SSIDが施設の公式発表と一致するか確認してください。空港はゲストWi-Fi名を公式サイトに掲載しており、ホテルはフロントで案内しています。類似した名前（余分な文字、入れ替わった文字、末尾に「Free」追加）が攻撃の特徴です。当スキャナーは模倣リスクの高いブランド名のリストと照合してSSIDの類似性にフラグを立てます。疑わしければ、モバイルデータ通信を使ってください。

詳細：Wi-Fi認証情報QR →

3. パスキーQRフィッシング

どのような見た目か： デスクトップでサイトにサインインしています。サイトがスマートフォンのパスキーをペアリングするためのQRを表示します。攻撃者があなたを偽サイトに誘導し、自分たちのQRを表示すると、あなたのパスキーが本物サイト上の攻撃者のアクティブなログインにペアリングされます。これであなたのアカウントにサインインされた状態になります。パスキーQRの背後にあるCTAP 2.2ハイブリッドトランスポート（標準）は暗号的に安全です。攻撃は純粋に人的なもので、あなたが思っているサイトではない画面のQRをスキャンさせることです。

見分け方： パスキーQRをスキャンする前に、ブラウザのアドレスバーでページのURLを確認してください。フィッシングサイトはタイポスクワット（余分なハイフン、入れ替わった文字、.comの代わりに.co）を使用することが多いです。パスキーQR自体は問題ありません。問題はそれを表示しているページが本物かどうかです。また、パスキーQRは短命です（通常1分未満）。静的なヘルプデスクページに何時間も表示されているQRは不審です。

詳細：FIDO2パスキーQR →

4. 認証アプリのエクスポート窃取

どのような見た目か： 誰かが「ちょっと写真を撮るだけ」と言ってロック解除済みのスマートフォンを借ります。Google Authenticatorを開き、アカウント転送 → エクスポートをタップしてQRを生成し、自分のスマートフォンで撮影します。そしてあなたのスマートフォンを返します。そのQRにはprotobuでbase64エンコードされたすべての認証シード（Google、AWS、GitHub、銀行、暗号資産取引所）が含まれています。これで攻撃者は各アカウントの6桁コードを永久に生成できます。それぞれをリセットするまでです。

見分け方： 防衛策はQRを見破ることではなく、そもそも生成させないことです。ロック解除済みのスマートフォンを渡さないでください。何かを共有する必要がある場合は自分でやってください。また、ほとんどの認証アプリはエクスポートフローでの生体認証を必要とするようになりましたが、Googleのアプリは2023年後半まで対応しておらず、古いスマートフォンではまだスキップされる場合があります。これが起きた疑いがある場合は完全な侵害として扱い、認証アプリに登録されているすべてのアカウントで2FAをリセットしてください。

詳細：otpauth-migration QR →

5. 搭乗券写真の投稿

どのような見た目か： 旅行者がInstagramやLinkedInに搭乗券の写真を投稿します「東京に出発！」搭乗券のPDF417バーコード（またはQR）には、航空会社の予約参照番号（PNR）とチケット番号が平文でエンコードされています。写真をスクリーンショットした攻撃者がバーコードをデコードし、航空会社のサイトで予約を検索（PNR + 苗字で通常十分）すると、旅行のキャンセル、座席変更、完全な旅程の閲覧、払い戻しフローの起動が可能になります。

見分け方： 搭乗券の写真を投稿しないでください。どうしても必要な場合は、バーコードと予約参照番号（通常6文字の英数字コードとして印刷されています）の両方をぼかすかトリミングしてください。QR・バーコードはスマートフォンのスクリーンショットからも機械読み取り可能なため、格好の攻撃対象です。

詳細：IATA BCBP搭乗券QR →

6. 運転免許証バーコードのハーベスティング

どのような見た目か： バー、クラブ、電子タバコショップ、ディスペンサリー、年齢制限小売店が運転免許証の裏面のPDF417バーコードを「年齢確認」のためにスキャンします。そのバーコードには免許証上のすべての属性が平文でエンコードされています：氏名、住所、生年月日、免許証番号、身長、体重、目の色。一部の事業者はそのデータを保持し、マーケティング集計業者に売ったり、侵害で盗まれたりします。本当のバウンサーに必要なのは一つだけです：法定年齢以上かどうか。住所は不要です。

見分け方： 何をどのような目的でスキャンするか確認してください。一部の施設は年齢確認のみが必要で、他の施設（一部の法域の大型クラブ）はデータ保持が法的に義務づけられています。小規模で非公式な施設では拒否してください。モバイル運転免許証をお持ちの場合はそちらを使ってください。mDLは選択的開示に対応しており（バーは生年月日を見ることなく「21歳以上？はい/いいえ」だけを確認できます）。

詳細：AAMVA運転免許PDF417 →

7. NFTイベントや物理アートでの暗号資産ドレイナーQR

どのような見た目か： NFTミートアップ、ギャラリーオープニング、カンファレンスブース、または物理的なアート作品の内側のQRが、無料NFTのミントやエアドロップの受け取りを謳っています。スキャンすると、QRがWalletConnectセッションまたはウォレットアプリへのディープリンクを開き、トランザクションへの署名を求められます。そのトランザクションはウォレット内のすべてのトークンを流出させる悪意のあるコントラクトを承認するものです。ドレイナーキットはコモディティソフトウェアで、QRは単なる配信手段です。

見分け方： 署名する前にウォレットのトランザクションプロンプトをよく読んでください。見覚えのないコントラクトに対するトークン承認（特にsetApprovalForAllや無制限のapprove支出）を求められた場合は拒否してください。ランダムなブースの無料NFT請求QRはリスクに見合いません。実際の資産は絶対にQRセッションに接続しないウォレットに保管し、対面でのやり取りには最小限の残高の「ホット」ウォレットを使ってください。

8. 慈善・寄付QRの上へのステッカー貼り

どのような見た目か： 実在の慈善団体のチラシが公共の場に掲示されています。攻撃者が寄付QRの上に自分たちのウォレットを指す独自のステッカーを貼るか、偽の寄付ページに誘導します。寄付は攻撃者のもとへ。これは自然災害や大きなニュースイベントの時に最も多く見られます。正規の慈善団体が積極的に宣伝しているところに攻撃者が便乗するのです。

見分け方： #1と同じです。QRは印刷されたものの上のステッカーですか、それとも元の印刷物の一部ですか？また、自分でブラウザに慈善団体のURLを入力して寄付するか、慈善団体の公式アプリを使ってください。QRコードは便利ですが、信頼の連鎖ではありません。

9. 偽造品パスポートQR

どのような見た目か： 衣類、バッテリー、電子機器、家具のQRが製品のEU Digital Product Passport（ESPR要件、2027〜2030年段階的導入）を謳っています。スキャンすると、製品の出自、再生素材含有量、サステナビリティに関する主張を示すスタイリッシュなウェブページが表示されます。しかし実際には偽物で、偽造品メーカーが汎用のDPPスタイルのランディングページに費用をかけただけです。DPPが普及するにつれて規模拡大が予想されます。規制当局はまだ真正性の基盤となるEUレジストリを構築中です。

見分け方： DPPの発行者フィールドが登録済みのEU経済事業者に解決するか確認してください。EU委員会は2026年半ば時点でまだ統合レジストリを公開していません。それまではDPPの主張を検証済みではなく参考情報として扱ってください。当スキャナーは発行者フィールドとDPPサーバーURLを抽出するので、そのルックアップが行えます。

詳細：EU Digital Product Passport →

10. 過剰な情報を要求する悪意のあるmDL検証者

どのような見た目か： バーや小売店のカウンターでモバイル運転免許証（mDL）を提示します。店側の検証アプリが、年齢確認だけで済む取引にもかかわらず、氏名、生年月日、免許証番号、住所、写真をすべて要求します。習慣でそのまま承認してしまいます。これで小規模事業者があなたの完全な個人情報を入手し、不明期間保持され、誰かに売られる可能性があります。規格はウォレットが要求リストを表示することを義務づけていますが、包括的な開示への承認は止められません。

見分け方： 要求プロンプトをよく読んでください。検証者が取引に必要な以上の情報を求めている場合（住所を尋ねるバー、免許証番号を求める小売店員）、最小限のバージョン（age_over_21のみ）を求めて断ってください。拒否された場合は、必要以上の情報を提供するか立ち去るかのポリシー判断となります。規格はあなたの味方ですが、検証者側のエコシステムはまだ規制されていません。

詳細：モバイル運転免許証（ISO 18013-5）→

悪意のあるものをスキャンしてしまったら

決済サイト： カード情報を入力した場合は、今すぐ銀行に連絡して取引にフラグを立て、カードを再発行してください。請求が確定するのを待たないでください。
Wi-Fi： スマートフォンでそのネットワークを削除してください。最近使用したアプリで認証情報を求めるプロンプトがないか簡単に確認してください。接続中に使用したすべてのもの、特にHTTPにフォールバックしたものはパスワードを変更してください。
パスキー： 影響を受けたアカウントにサインインし、セキュリティ設定でアクティブなパスキーを一覧表示し、見覚えのないものを削除してください。サイトが対応している場合はパスワードもリセットしてください。
認証アプリのエクスポート： これは完全な侵害として扱ってください。認証アプリに登録されていたすべてのアカウントで2FAをリセットしてください。高価値なもの（銀行、メール、暗号資産取引所、GitHub、AWS）から始めてください。
搭乗券を投稿した場合： 航空会社に連絡し、可能であれば予約参照番号を変更し、誰かが予約を変更した場合に気づけるようフライトステータスアラートを設定してください。
暗号資産ドレイナーに署名した場合： 残っている資産を直ちに新しいウォレットに移動してください。使用したすべてのチェーンでコントラクト承認を取り消してください（revoke.cashや類似ツールがほとんどのチェーンに対応しています）。流出したトークンは通常回収不可能です。

スキャン前に確認

画像・ペースト・カメラいずれかの方法でQRをスキャナーにドロップしてください。デコード済みペイロード、URLの場合はリダイレクトチェーン、今後目的地を変更できる主体、そしてレピュテーションフラグが表示されます。判断はあなたに委ねられます。行動する前に情報が画面上に表示されます。

スキャナーを開く →