QRコードの安全講座：フィッシングを見抜く＆作る側のベストプラクティス【2025年版】

公開日: 2025-11-18 / 更新日: 2025-11-18 セキュリティ実務図解的解説

この記事のゴール
利用者：怪しいQRを見抜く基準を身につける。
配布側：安全に配るためのURL設計・期限・署名・表記の型を学ぶ。

1. 何が危ない？QRフィッシングの典型

上貼り攻撃：正規ポスターの上に偽QRをシールで貼る。場外の壁・信号機・混雑会場で多い。
短縮URL経由のすり替え：QR→短縮→リダイレクトで最終URLを偽装。途中で差し替え可能。
似せドメイン：paypaI.example（Iとl）や細工されたサブドメインで本物に見せる。
アプリ深いリンク：myapp:// 等のスキームでアプリ起動→権限要求や偽決済に誘導。
Wi-Fi設定QR：自動接続で改ざんAPへ誘導、トラフィック傍受の足がかり。
決済・寄付のすり替え：送金先IDのみ違うQR。小さな違いで被害が発生。

2. 利用者のチェックリスト（10項目）

#	チェック	理由
1	物理的に上貼りされていないかを見る（段差・光沢・ズレ）	上貼りは最も多い手口
2	URLプレビューを必ず確認（ブラウザで開く前）	ドメインを先に見る癖をつける
3	httpsと“本物のドメイン”か（鍵マークだけで判断しない）	証明書は十分条件ではない
4	短縮URL（例：短い乱数）なら一旦避ける	最終遷移先を隠せる
5	URLが長すぎ/パラメータだらけなら開かない	トラッキング/攻撃の混入余地
6	決済/ログイン要求は絶対に公式アプリ/ブックマークから	QR経由で資格情報を出さない
7	公共物・電柱・ベンチ等のQRは原則スルー	掲示主体が不明
8	プロファイル/アプリのインストールを促すページは閉じる	不審な構成プロファイルは危険
9	“無料Wi-Fi接続QR”は使わない	偽AP誘導の可能性
10	メール内QRは送信元と件名の整合を見る	アカウント回復を装う偽装が多い

迷ったら「あとで自分のブックマークから開く」。これだけで多くの事故は回避できます。

3. 配布側のベストプラクティス（2025）

URL設計の原則

自ドメイン直URL：短縮URL禁止。どうしても必要なら自社短縮（独自ドメイン）。
HTTPS必須：HSTS推奨。HTTPへは301で閉じる。
含めないもの：PII、セッションID、機微情報。UTMは最小限。
人間可読の表記：QRの下に example.com/campaign を印字。偽物との見分けに有効。
確認ページ（インタースティシャル）：決済/ログインに飛ぶ前に「目的・ドメイン・時間制限」を明示。

トークン・期限・署名（Dynamic QRの安全化）

期限：exp（UNIX秒）を持つ使い捨てトークンで遷移を許可。
署名：HMAC-SHA256(secret, user|exp|nonce) を付与し、改ざん検知。
一回性：nonce をStoreして1回使ったら無効化。
スコープ：遷移先をホワイトリスト固定（オープンリダイレクト禁止）。
レート制限：IP/UA/回数の簡易RateLimitを前段に。

表記・デザインの工夫

周囲に安全枠・ブランドロゴ・連絡先を印字（偽QRシールと差別化）。
紙媒体は耐改ざんラミネートや型抜きで上貼りを検知しやすく。
会場ではスタッフが定期巡回して掲示を確認、差し替えを即撤去。

4. 期限・署名付きQRの実装例（サンプル）

以下は「署名付きリンク」を生成→サーバで検証する最低限の例です（概念理解用）。

生成（Node.js例）

// 生成側
import crypto from 'node:crypto';
const SECRET = process.env.QR_SECRET; // 長くてランダム

function sign(params){
  const payload = new URLSearchParams(params).toString();   // user=123&exp=1731956400&nonce=...
  const sig = crypto.createHmac('sha256', SECRET).update(payload).digest('hex');
  return `${payload}&sig=${sig}`;
}

// 例：有効期限15分のワンタイムURL
const exp = Math.floor(Date.now()/1000) + 15*60;
const nonce = crypto.randomBytes(8).toString('hex');
const qs = sign({ user:'123', exp, nonce });
const url = `https://example.com/campaign?${qs}`;
console.log(url);

検証（サーバ側・擬似）

// 擬似コード
const used = new Set(); // 実際はDB/TTL付きKVS
function verify(query){
  const {sig, ...params} = query;
  const payload = new URLSearchParams(params).toString();
  const expect = hmacSha256(SECRET, payload);
  if (sig !== expect) return 400;          // 改ざん
  if (Number(params.exp) < now()) return 410; // 期限切れ
  if (used.has(params.nonce)) return 409;     // 再利用
  used.add(params.nonce);
  return 302; // 正規ページへ
}

コマンドライン一発（HMACだけ生成）

# macOS/Linux
PAYLOAD="user=123&exp=1731956400&nonce=abcdef12"
SECRET="長くてランダムな秘密鍵"
SIG=$(printf "%s" "$PAYLOAD" | openssl dgst -sha256 -hmac "$SECRET" | awk '{print $2}')
echo "${PAYLOAD}&sig=${SIG}"

※ 実運用ではHTTPS・CSRF・リダイレクト固定・ログ/レート制限も忘れずに。

5. 紙・会場での“物理的”対策

掲示場所は目線の高さと照明の下。暗がり・雑多な掲示板は避ける。
サイズは最低30mm角以上、余白（クワイエットゾーン）を確保。誤読＝誤遷移の元。
誤読に強い誤り訂正レベル（ECC）はM〜Qを目安に。過剰に高いとデータ量↑で読みにくくなる。
ステッカー上貼り対策に、型抜き＋背景柄（貼り替えが目立つ）を採用。
イベント中は定期撮影→差分確認で不審な貼り替えを検知。

6. FAQ

Q. 短縮URLは絶対NG？

外部の無償短縮は避ける。運用を自分でコントロールできる独自短縮ドメインなら可。最終遷移先は固定・ログは最小限。

Q. 決済QRを安全に配るには？

利用者には「アプリを開いて自分のブックマークからアクセス」を促す。配布側は金額・受取先・有効期限を紙面で明記し、一回性トークンを使う。

Q. Wi-Fi接続QRは？

公衆向けに配るのは非推奨。社内用は掲示板ではなくイントラに掲載し、来訪者には口頭＋紙でネットワーク名とパスのみ渡す。

7. まとめ（保存版）

利用者：URLプレビュー→ドメイン確認→決済/ログインはブックマークから。
配布側：自ドメイン直URL・短縮禁止・期限/署名/一回性・人間可読表記・物理対策。
これでQRの“速さ”と“安全”の両立ができます。

関連： AIに任せてはいけない作業 / 1時間で作る個人サイト / 文字数カウンター / パスワード生成
テスト用の受信や確認メールは、広告ゼロの一時メール tomy634.com をどうぞ。

tomy634.com // ブログ

QRコードの安全講座：フィッシングを見抜く＆作る側のベストプラクティス【2025年版】

目次

1. 何が危ない？QRフィッシングの典型

2. 利用者のチェックリスト（10項目）

3. 配布側のベストプラクティス（2025）

URL設計の原則

トークン・期限・署名（Dynamic QRの安全化）

表記・デザインの工夫

4. 期限・署名付きQRの実装例（サンプル）

生成（Node.js例）

検証（サーバ側・擬似）

コマンドライン一発（HMACだけ生成）

5. 紙・会場での“物理的”対策

6. FAQ

Q. 短縮URLは絶対NG？

Q. 決済QRを安全に配るには？

Q. Wi-Fi接続QRは？

7. まとめ（保存版）