店舗での買い物時の支払いや飲食店でのスマホを使った注文など、いまや生活のあらゆる場面で使用されるQRコード。だが、その利便性の裏をついた大胆な詐欺が相次いでいる。

　◆◆◆

　決済サービス「PayPay」を使い、QRコードをスキャンしただけで、73万円を騙し取られた――。

　6月18日、そんな驚きの被害がネット上で報告され、話題となった。被害にあった利用者はPayPayに1万円しかチャージをしていなかったにもかかわらず、73万円もの大金を奪われたというのだ。

　一体どんな手口だったのか。ITジャーナリストが明かす。

「まず、被害者に『PayPayカード』を名乗る請求メールが届いた。PayPayのロゴマークなどが使われ、デザインも一見本物と区別がつかないものだったため、被害者は思わず添付された『アプリで請求明細を確認する』と書かれたリンクを開いてしまったそうです」

　すると、リンク先にはQRコードがふたつ表示されており、最初に左側、次に右側のQRコードをスキャンするように促された。

「ふたつのQRコードを読み取ったところ、被害者のPayPayアカウントに紐づけられた銀行口座から、次々と被害者のアカウントへ送金が行われたのです。

　さらに被害者は全く操作をしていないにも関わらず、PayPayアプリから、送金されたチャージを使って、身に覚えのない支払いが次々にされていく。結局、計73万円が引き出され、不正に送金されてしまった」（同前）

　かくしてPayPayアカウントのチャージ金額を大きく超えた金額を騙し取られる被害が発生したのだ。

　今回の事例のように、QRコードを使った詐欺は近年急増している。特に多いのが、PayPayなどのスマホ決済サービスを使った、“返金詐欺”だ。

　サイバーセキュリティを専門とする神戸大学大学院の森井昌克名誉教授が解説する。

「最初に詐欺師が作った通販サイトから、『商品が用意できなかったのでQRコードで返金します』などと書かれたメールとQRコードが送られてくる。

　だが、実際に送られてきたQRコードのリンク先は返金ページではなく、PayPayの支払いコード。それに気づかずにQRコードを読み込んでしまい、『返金に必要な決済コードは123456です』などと言われるままに、数字を入力してしまうと、12万3456円が相手に送られてしまうという仕組みです。

　他にも、『税金が払えていません』などと税務署を騙ったメールを送り、QRコードを使って、同様の手口で支払いをさせようとする詐欺もあります」

　警視庁の発表によると、24年初頭から10月までに東京都内で起きたQRコードを用いた返金詐欺の被害は138件、被害額はおよそ1億5000万円に上る。近年のQRコード利用の拡大に伴い、詐欺被害も急増しているのだ。

　前出の森井氏が強く警鐘を鳴らす。

「お店においてある支払い用のQRコードを使った詐欺の手口も確認されています。一番単純なのはお店側のQRコードを別のものに張り替え、お店とは別のところにお金を送らせるもの。店側が気づかないと、どんどん不正な会計が行われ、他に送金されてしまうわけです」

　さらに、ネット上のフィッシング詐欺などとQRコード詐欺を組み合わせた手法も出てきている。

「QRコード詐欺に限らず、ネット上の詐欺は最初に、偽のページやURLにアクセスさせないといけませんから、『認証をしないと銀行口座が凍結される』『追徴金が発生する』などと言って、緊急性を煽るメールを送り付ける。

　こういったメールや文言には要注意。対策として、まずはこのようなメールなどに記載されているURLにはアクセスしないことが大切です」（同前）

　しかし、メールが送られてきた段階では詐欺だと気付かず、URLにアクセスしてしまうこともあるだろう。その場合には、

「リンク先で、QRコードのスキャンを求められても絶対に応じないでください。QRコードをスキャンして、表示されるURLなどを一度読み込んでしまうと、アッという間に処理が終わり被害に遭う。安易にQRコードを読み込むのは絶対にNGです」（同前）

　奪われるのは、お金だけとは限らない。

「QRコードはいろんなことができるんです。今回の被害者のように、アカウントを簡単に金融機関などの他のサービスと連携することもできますし、QRコードにプログラムを仕込み、ブラウザを通じてスマホを動かすこともできます。

　場合によっては被害者の個人情報を勝手に送信したり、スマホ内の電話帳や友達リストなどの情報へアクセスする権限を渡してしまうこともできる」（同前）

　森井氏が続ける。

「まず、最近のスマホではQRコードをスキャンしただけで、勝手にリンク先のURLが開く設定のものはほぼありません。QRコードを読み込んだら必ずQRコード認識アプリが読み取ったURLが表示されますから、これをしっかり自分の目で確認することが重要です」

　表示されたURLで、まず注目すべきは、

「後ろの方に『？』『＆』などの記号が複数ついていないか、やたらと長くないか。そういったURLには、何らかのプログラムが含まれている可能性が高い。

　他にも、URL内のドメインが「.jp」や「.com」ではなく中国のドメインである「.cn」など日本国外のものだった場合は詐欺であることが多いので要注意です」（同前）

　さらに森井氏はQRコード詐欺を“撃退”するためにいちばん大切なことは「まずは落ち着くこと」だと言う。

「被害に遭っている人のほとんどは慌ててしまったりして、考えることなく、ぱっとQRコードのリンクをタップしてしまっている。これが一番まずい。自分に限ってありえないではなく、誰でも詐欺被害者になる可能性は大いにあるという意識を常に持つことが大切です。

　あとは前述のようなちょっとした注意だけでかなり防げると思います。それでも不安があれば、まずは周りの人や消費者センター、警察に相談してみましょう」

　PayPayが発端となった今回のQRコード詐欺。こうした被害への対策や今後の対応についてPayPayに質問すると以下のような回答があった。

「今回悪用されたのは、QRコードを2回読み取って、他社サイトと連携する『スマートペイメント』という機能です。当該事案が発覚した際、すぐに対策をとっておりましたが、6月20日に新たに改修を行っております。これにより、今後は同じ手口による被害は発生しません。現在PayPayカードを装った偽の請求メールが確認されており、モニタリングを強化しています」

　森井氏が最後に指摘する。

「同じような詐欺の手口は今後も出てくるでしょうから、利用者も学習して、こういうことが常に起こり得ると、警戒しないといけません」

　便利さに甘えず、QRコードのリンク先が怪しくないか疑うことが大切だ。

（「週刊文春」編集部／週刊文春 2025年7月10日号）