QRコードに注意が必要な理由
QRコードは機械が読み取る文字列にすぎません — たいていはURLですが、WiFiのパスワード、vCardの連絡先、決済データのこともあります。だからこそ悪用が容易です: 本物のコードの上に貼られたシールが、あなたを銀行を装ったフィッシングのコピーサイトへ送ることがあり、ほとんどのオンライン生成ツールは入力した内容(WiFiパスワードを含む)を自社サーバーに記録します。このガイドでは、スキャンと生成を安全に行う方法を扱います。(QRコードに何が含まれるか、生成ツールがスキャンをどう追跡するかの全容については、QRコードのプライバシーに関するLearnの記事をご覧ください。)
4ステップでQRコードを安全に使う
- 1出所のわからないQRコードをスキャンする前には、開く前に完全なURLを表示してくれるQRスキャナーを使いましょう。QRコードに、ブラウザを自動的に開かせるような設定は避けるべきです。必ず遷移先を自分の目で確認してから、開くようにしましょう。
- 2QRコードは、ローカルで生成しましょう。PrivaQRは、QRコードをブラウザ内で完全に生成します。エンコードするデータ(URL、連絡先情報、Wi-Fiパスワードなど)が、あなたのデバイスの外に出ることは一切ありません。機密性の高いコンテンツを扱う際には、これは特に重要なポイントとなります。
- 3名刺、Wi-Fi共有、決済といった重要な用途には、内容を検証でき、再現も可能な静的QRコードを使いましょう。サーバーを経由するサードパーティのダイナミックQRサービスは、いつでも内容を変更されたり無効化されたりする可能性があるため、避けるのが賢明です。
- 4生成した後は、印刷や配布の前に異なる2つのスキャナーアプリでコードをテストしてください — そして長く使うコード(看板、名刺、メニュー)は定期的に再確認し、意図した先を指しているか、改ざんされていないかを確かめましょう。
QRコードのセキュリティヒント
既存のQRコードの上に貼り付けられているように見える、公共の場のQRコードには特に注意しましょう。これは、フィジカルフィッシングと呼ばれるありふれた手口の一つです。 Wi-FiのQRコード(QRパターンの中にパスワードがプレーンテキストで埋め込まれています)は、信頼できる相手にだけ共有し、広く配布することに不安がある場合は、後でパスワードを変更しておきましょう。 QRコードで連絡先を共有する際には、電話番号や住所のような全情報をエンコードするのではなく、機密性の低い項目(氏名やWebサイトなど)だけに絞ってエンコードすることを検討しましょう。 また、印刷したり共有したりしたQRコードが、今も正しい遷移先を指しているかどうかを、定期的に確認するようにしましょう。