2024年、東京都内で残高1万円しかなかったPayPayのアカウントから銀行口座経由で73万円が引き出される事件が報じられた(Yahoo!ニュース個人 2024)。原因は、ある場所で読んだQRコードが PayPayと別サービスをつなぐ偽の連携画面に誘導していたこと。これが日本で急速に注目を集めている**クイッシング(quishing)**の典型例だ。
警察庁によれば、2024年のQRコードを利用した詐欺報告は前年の約3.6倍に急増しており、JSSECやAIQVE ONEのレポート、PayPay公式の注意喚起、フィッシング対策協議会の最新緊急情報(国民健康保険料を装うフィッシング、2026年4月)が相次いでいる。日本のキャッシュレス決済比率がQR決済を主軸に40%超まで伸びた裏側で、詐欺の表面積も同じ比率で広がっているのが2026年の現実だ。
本稿は個人ユーザーと個人事業主の双方が、日本で実際に起きているクイッシングをどう識別し、通報し、店頭で予防するかを一枚に整理する。
日本でよく見られるクイッシング5パターン
1) PayPay偽装・連携画面誘導 QRを読んだ後にPayPayと「別サービスとの連携」画面が表示され、第三者の口座と紐付けられる。前述の73万円事例はこのパターン。PayPay公式も「不審な連携画面が出たら一度キャンセル」と注意喚起している。
2) 駐車場・コインパーキングのQRすり替え 正規の支払いQRの上に偽シールが貼られ、駐車料金が詐欺アカウントに流れる。米ニューヨーク市でも同種のスキームが2025年に多発しており、国際的に通用する手口になっている。
3) 飲食店メニューQRすり替え テーブル上のメニューQRが偽物に置き換えられ、メニューサイトを装ったフィッシングページに誘導。ここで「予約のためのアプリ」をインストールさせる派生型もある。
4) 国民健康保険料・税金を装うスミッシング+QR 2026年4月、フィッシング対策協議会が「国民健康保険料の支払い依頼」を装うフィッシングについて緊急情報を発行。SMSやメールから誘導されたQRをスキャンすると、PayPayでの支払いを偽装する流れが確認されている。
5) 不審な小包に入ったQR(ブラッシング詐欺の発展形) 注文した覚えのない小包に「お問い合わせはこちら」とQRが添付されている。米国FBIが2025年に注意喚起した手口で、日本でも報告例が出始めている。
クイッシングを見分ける3つのチェック
QRを読んだ瞬間に詐欺かどうかを100%判別する方法はない。しかし以下3つのチェックを通せば被害確率は大幅に下がる。
| 観点 | 安全 | クイッシング疑い |
|---|---|---|
| QRの貼付状況 | 店が直接貼った定位置、毎日同じ | 昨日なかった新しいシール、位置が不自然 |
| 展開後のURL | 公式ドメイン(paypay.ne.jp等) | 短縮URL、運営会社と一致しないドメイン |
| 遷移後の画面 | 既存アプリの見慣れた画面 | 連携承認・ログイン・.apkインストールを即要求 |
スマホのカメラがQRを認識した直後に表示されるURLプレビュー(iOS・Androidとも標準機能)で、ドメインを必ず一度目視する。これだけで多くのケースは未然に防げる。
ここで押さえておきたいのは、リスクは「QRを作る側」ではなく「素性の知れないQRを読み取る側」にあるという点だ。店内Wi-Fi案内のQRをPiPiのQRコード生成ツールのようなツールで自分で作った場合、そのQRが指す宛先(自店のWi-Fi情報、自店のメニューPDFなど)は自分が入力した値なので明確だ。一方、レジ前に昨日なかったQRが貼られていれば、それが何を指すかは分からない。同じQRでも「宛先を自分が知っているQR」と「出所が分からないQR」は信頼度がまったく違う。
被害発生時の通報順序
金銭被害が発生した場合
- 利用した決済サービスに連絡 — PayPay・楽天ペイ・d払いなどのサポートに即時連絡。各社が定める補償制度の対象になる場合がある(PayPay公式は不正利用補償の枠組みを公開している)
- 警察相談専用電話 #9110 または緊急時は 110
- フィッシング対策協議会 antiphishing.jp にURL・スクリーンショットを報告
- クレジットカード・銀行口座の停止依頼 を並行
金銭被害がなく、不審なQR・偽サイトの存在を共有したい場合
- フィッシング対策協議会 antiphishing.jp の報告フォーム
- 国民生活センター 188 (消費者ホットライン)
- SNS・店舗側にも情報共有して被害拡大を防ぐ
個人事業主向け — 店頭ストアQRの毎朝5分点検
クイッシングは個人ユーザーだけの問題ではない。店頭にストアQRを置く飲食店・小売店・サロンの個人事業主こそ、すり替え型の標的になりやすい。
開店時(1分)
- レジ前・テーブル上のすべての決済QRをスマホで撮影
- 前日撮影分と差分目視。新しいシール、位置のずれを点検
- 異常があれば即時に外し、各決済サービスにQR再発行を依頼
営業中(随時)
- お客様の決済が成立した瞬間に決済アプリ通知が届くか確認
- 通知が遅延・不着の場合は即座に決済自体を疑う
- レジ係の死角にQRを置かない(死角は偽造の温床)
1次防御 — ラミネート加工 正規QRをラミネート加工し、レジ前のアクリルスタンドに固定する。シール貼付の試みが物理的にやりにくくなり、不正の頻度を下げられる。さらに店主自身がQR撮影を毎日行う運用そのものが、犯行を試みる側にとっての見えない監視カメラとして機能する。
静的QRツールとクイッシングの関係
PiPiのQRコード生成ツールは、ブラウザ内で動作し、入力値をサーバーに送信しない静的QR生成器だ。Wi-Fiパスワードや連絡先のような機微情報も安心して扱える設計になっている。
ただし重要な区別がある:
- ツールの安全性 = 入力値が漏れない・改ざんされない設計上の保証
- QRが指す先の安全性 = QR作成者が入力したURLそのものに対する評価
ツールは作成者が入力したURLを忠実にQR化するだけで、URL先を検証する責任は持たない。つまりQR生成ツールがクイッシングを防いでくれるわけではない。
だからこそ、自店で使うQR(Wi-Fi・メニュー・連絡先)は、信頼できる生成ツールで自分で作り、宛先を自分で管理するのが安全だ。そうすればそのQRが何を指すかを作成者自身が正確に把握できる。逆にQRを読み取る側に立つときは、ツールが何であれ常に展開後のドメインを目視する習慣を維持する必要がある。リスクは常にスキャンする側にある。
店舗Wi-Fi・メニューQRで静的QRの正しい印刷・運用手順を、個人事業主のQR決済導入比較で決済QRと店内案内QRの違いを詳しく解説した。
高齢家族とクイッシング — 家族で守る
日本でも高齢層がデジタル機器に慣れる過程でクイッシングの標的になっている。家族でできる3点:
- キャリアのSMS自動フィルタリング(ドコモ・au・ソフトバンクが標準提供)を有効化
- 「QRを読む前に必ず家族に電話で確認」 という家族ルールを作る
- 親世代の銀行口座・カードに1日・1か月の引出限度額を低めに設定
クイッシングは技術問題である前に、信頼と判断の問題だ。「QRを読む前に30秒立ち止まる」 が最も安価で確実な対策になる。
まとめ
QRが日本の生活インフラになった以上、クイッシングは消えない。残高1万円のPayPayから銀行口座経由で73万円が引き抜かれた事例が示すのは、被害は「PayPayのなかの問題」では止まらず、銀行・連携サービスを横断して広がるということだ。
この記事の要点を一行で:
- 展開後のURLを必ず確認 — QR読み取り直後にドメインを一度目視
- 金銭被害は#9110、不審報告はantiphishing.jp — 通報ラインを2つだけ覚える
- 個人事業主は店頭QRを毎朝撮影比較 — 5分の習慣が偽造を未然に止める
QRを読む前の30秒の停止 — それが2026年の日本で最も強い防御になる。