🌿QRMint
ハウツーガイド

そのQRコード生成サービス、本当に安全ですか?

トレンドマイクロがGoogle/Bing上位のQR生成サービスを検証した結果と、印刷キャンペーンを守るための選定基準。

最終レビュー: 2026年

2025年12月、トレンドマイクロ日本法人が「QRコード 生成」というキーワードでGoogle/Bingの上位に表示されたQR生成サイトを検証したセキュリティアドバイザリを公開しました。同チームは2025年11月13日にQRコードを作成し、8日後の2025年11月21日に再検証。その結果、検証対象のうち2サービスで目的のサイトに直接到達せず、一方は広告のような中間ページ、もう一方は再アクティブ化・支払いを促す画面に変わっていたと報告しています。トレンドマイクロはさらに、悪意あるリダイレクトや物理的なQRシール貼付けという別のインシデントも整理しています。本記事では確認できた事実に絞って、国内一次情報、印刷前の1分ベンダーチェック、ブラウザ完結型の静的エンコーダがこのカウンターパーティリスクをどう下げるかを解説します。

これは抽象的なリスクではありません。学習院大学は2023年10月30日、「大学案内2024」に掲載された二次元コードが不正なリンク先に転送されていると公表し、読者にその印刷済みコードを使用しないよう案内しました。イオンフィナンシャルサービスも2023年12月25日、企業DM等に掲載された二次元コードから不正サイトへ誘導され、カード番号などの決済情報入力を求められるケースを確認したとして注意喚起しています。これらはトレンドマイクロの8日後再検証とは別事案ですが、印刷されたQRが長く残る依存関係であることを示しています。紙に焼き付いた瞬間、あなたの管理外にあるリダイレクト層もサプライチェーンの一部になるからです。

物理的な改ざんも同じ問題の別側面です。電気通信大学は2025年10月24日、京王線内に掲出している本学広告に不審なQRコードのシールが貼付けられていたと報告しました。公式広告にはQRコードを掲載していなかったため、大学は該当広告を撤去し、同日中に掲出広告全件を確認し、読み取り前にシールなど後付けの不審点がないか確認するよう呼びかけています。パッケージ、サイネージ、学校案内、規制産業の書類など業務クリティカルな印刷物では、デコード先URLと物理的な掲示面の両方を運用チェックに入れる必要があります。

静的なドットパターンが安全である技術的な理由は、明文化しておく価値があります。QRマトリクスは誤り訂正を持つ2次元バーコードにすぎません。リーダが明暗のモジュールをデコードすると、エンコードされたテキストそのものが得られます。コールバックもルックアップもリゾルバも存在しません。そのテキストが `https://your-domain.example/page` であれば、スキャナは単にそのURLを開くだけです。スキャン経路に中間サービスは介在しません。一方、第三者ベンダーが販売する動的コードの場合、エンコードされたテキストは `https://vendor.example/r/abc123` となり、スキャナはベンダーのリダイレクタにアクセスし、ベンダーのデータベースが現在指しているURLへHTTP 302で転送されます。これらの各レイヤーは、所有者・運営者・DNS・TLS証明書・法人のどれかが時間と共に静かに変わりうるポイントです。

QRMintは静的用途において、このクラスのリスクを丸ごと排除するように設計されています。生成処理はJavaScriptとCanvas APIを使ってブラウザ内で完結します。入力したテキストは、あなたの端末上でピクセルに変換され、ペイロードがqrmint.appに送信されることはありません。ダウンロードボタンを押すと、ブラウザはローカルメモリからPNG・SVG・PDF・WEBPを書き出します。仮に明日qrmint.appがオフラインになっても、今日ダウンロードしたドットパターンは、エンコードしたURLに永続的に解決し続けます。我々のインフラへの依存はゼロです。これが実際の「ブラウザ完結型」の意味であり、たとえ悪意を持ったとしても我々があなたのコードを人質にできない機械的な理由です。

トレンドマイクロ検証:たった8日で起きたこと
0日目
2025-11-13
トレンドマイクロが上位を記録
〜8日間
ドメイン・運営が静かに変化
8日目
2025-11-21
複数が消失・悪意化
静的QR vs 動的QR(カウンターパーティリスク比較)
静的QR動的QR(他社型)
第三者リダイレクタ経由なしあり(人質化リスク)
サービス停止の影響影響なし全コードが失効
有効期限無期限ベンダー次第
所有権あなたベンダー
一次ソース
「検索エンジンで上位に表示されたQRコード生成サービスのうち、8日後(2025年11月21日)の検証で複数のサービスが目視確認できませんでした。」
トレンドマイクロ「事業者のためのQRコード生成ガイド」(2025年12月19日公開)

手順

1

トレンドマイクロが実際に検証した内容を確認する

トレンドマイクロは2025年11月13日にGoogleとBingで「QRコード 生成」を検索し、検索結果に表示された生成サービスを検証しました。その8日後の2025年11月21日に再検証したところ、2つのサービスで目的のサイトに直接到達しない状態になっていました。一方は広告のような中間ページ、もう一方は再アクティブ化・支払いを促す画面です。アドバイザリでは、この検証結果と悪意あるリダイレクト・物理改ざんの別事例を分けて整理しています。

トレンドマイクロ日本法人「事業者のためのQRコード生成ガイド」2025年12月19日公開
2

「動的人質化」というビジネスモデルを理解する

「無料」サービスの多くは、実際には動的コードを発行しています。つまり印刷されるドットパターンには、あなたの本当のURLではなく、サービス側の短縮URLリダイレクタが埋め込まれています。そのサービスが停止・有料化・運営者変更・ドメイン差し押さえなどを受けると、これまでに発行された全パターンが静かに別の場所へリダイレクトされます。DNSもリダイレクトテーブルもTLS証明書も法人も、あなたの管理下にはありません。マーケティング文言で「静的」と謳っているサービスでも同じ罠があり得ます。必ず出力を自分でデコードして確認してください。

3

2つの具体的な攻撃パターンを知る

トレンドマイクロのアドバイザリと国内インシデントの一次情報を見ると、少なくとも2種類の独立した失敗モードが見えます。それぞれ別のリスクベクトルなので、単層の防御では不十分です:

  • リダイレクト依存: 印刷済みコードがURL短縮サービスやQRベンダーのドメインを指し、後からリンク先が管理外で変わる。
  • 物理改ざん: 攻撃者が現実世界の印刷物の上や近くにQRシールを貼り付ける。
4

印刷前の1分安全監査を実行する

紙・パッケージ・サイネージに焼き付ける前に、この短いチェックリストを必ず通してください。各項目は数秒で終わりますが、構造的に危険なベンダーの圧倒的多数はここで弾けます:

  • 生のスキャナで出力をデコードし、第三者リダイレクタではなくあなたのURLを直接エンコードしていることを確認する。
  • 過去12か月の「ベンダー名+shutdown」「ベンダー名+expired」をGoogleとRedditで検索する。実例はすぐに出てくる。
  • ベンダードメインのWHOISで、作成日・登録者国・有効期限を確認する。2年未満は高リスク、6か月以内に失効するものは赤旗。
  • 検証可能な法人情報を探す: 登記上の法人名、所在地、電話番号、日本の場合はインボイス登録番号(適格請求書発行事業者登録番号)。
  • 利用規約で「当社は〜を無効化することがある」「提供を中止することがある」「一時停止することがある」の正確な文言を読む。継続性へのコミットメントが書面にない事自体が一つの情報。
5

ブラウザ完結型の静的エンコーダを優先する

静的エンコードはURLそのものをドットパターンに直接埋め込みます。スキャン経路に第三者リダイレクタは介在せず、有効期限も人質リスクもありません。あなた自身のドメインが生きている限り、コードは永遠に動きます。QRMintはJavaScriptとCanvas APIを使って、エンコード処理を完全にブラウザ内で実行します。ペイロードに関するどんな情報もqrmint.appに送信されません。万が一qrmint.appが明日消えても、今日ダウンロードしたパターンはエンコードしたURLに永続的に解決し続けます。我々のサーバーへの依存はゼロです。

6

動的コードが本当に必要な場合はカウンターパーティリスクを下げる

動的コードはABテスト・分析・印刷後のURL差し替えなど正当な用途があります。必要な場合は下記のすべてを満たす事業者を選んでください。目的は、インフラのできるだけ多くの部分を自社のブラスト半径の内側に引き寄せることです:

  • 長い運用実績(複数年のドメイン登録、検証可能な法人設立年数)。
  • 透明性のある法人情報: 公開された所在地・電話・インボイス登録番号。
  • 広告依存ではない有料ビジネスモデル。稼働率とインセンティブが揃う。
  • 全コードを自社ドメイン下で短期間に再発行できるエクスポート経路。
  • 書面化されたデータ保持・インシデント対応・停止時移行ポリシー(ローカル保存可能なもの)。
  • ベンダー自社ドメイン上のネイティブリダイレクト。チェーン中に第三者の短縮URLを挟まないこと。

今すぐ試してみましょう

QRコードを作成 →

ヒントとコツ

  • 印刷物(名刺・メニュー・ポスター・パッケージ)には必ず静的QRコードを使いましょう。適切なツールを選ぶ手間は、刷り直しのコストよりはるかに低いです。
  • サービスを信用する前に、そのサービスの出力を生のQRスキャナで読み取ってみましょう。デコード結果があなたのURLではなくサービス側ドメインのURLだった場合、それは動的QRで人質化リスクがあります。
  • 生成サイトのドメインのWHOIS作成日を確認しましょう。運用2年未満のドメインはリスクが高めです。
  • QRのダウンロードにサインアップが必須のサービスは「なぜ?」と疑うべきです。静的QR生成にアカウントは原理的に不要です。
  • 法人利用では、事業者に対して法人名・サポート電話・書面のデータ保持ポリシー・停止時の移行手順を必ず要求しましょう。
  • 印刷前には必ず本番環境(暗所・斜め・距離)でスキャンテストを行いましょう。当サイトの無料ブラウザ版スキャナでローカル検証できます。

一次情報

よくある質問

トレンドマイクロは8日後に何を確認したのですか?
トレンドマイクロ日本法人が2025年11月13日と2025年11月21日に実際に検証し、2025年12月19日に公開しています。ただし確認できる結果は「複数が悪意あるサイト化」ではなく、2つの検証対象サービスで目的のサイトに直接到達しない状態になったというものです。一方は広告のような中間ページ、もう一方は再アクティブ化・支払いを促す画面でした。完全なアドバイザリは https://www.trendmicro.com/ja_jp/jp-security/25/l/expertview-20251217-01.html で確認できます。
既存のQRコードが静的か動的か、どう見分ければよいですか?
任意のQRスキャナ(当サイトのスキャナでもOK)で読み取ってください。デコード結果があなたの本当のURL(例: https://yourcompany.com/promo)であれば静的で安全です。第三者ドメインの短縮URL(例: https://qr.example.com/abc123)になっていれば動的で、そのサービスが動き続けることに依存しています。
静的QRコードは本当にこの問題の影響を受けませんか?
はい。静的QRコードは、あなたのURLそのものをピクセルでエンコードしているだけです。第三者への実行時依存がありません。あなた自身のドメインが生きている限り、QRコードは永遠に動作します。スキャン経路にベンダーが存在しないため、どのベンダーもそのQRを「期限切れ」にも「無効化」にもできません。
QRMint自身は安全なのですか?
QRMintは静的QRコードの生成をすべてブラウザ内でJavaScriptとCanvas APIを使って行います。あなたが入力した内容も生成された画像も、あなたの端末から出ません。万が一qrmint.appが明日オフラインになっても、既にダウンロード済みのQRコードは永続的に動作します。QRMintはネットウィズ合同会社(Netwiz LLC)が運営する日本法人で、法人住所・電話・インボイス登録番号をすべて公開しています(「特定商取引法に基づく表記」ページを参照)。
既に「無料」サービスでQRコードを印刷してしまった場合はどうすれば?
ただちに生のQRスキャナでそのコードを読み取り、現在どのURLに解決しているか確認してください。既に第三者リダイレクタ経由になっていた場合は高リスクとして扱い、自社管理ドメイン下の独自リダイレクト(例: yourdomain.com/qr1)を準備し、次の機会に静的QRで刷り直す計画を立ててください。デジタル配置の場合はすぐに画像を差し替えましょう。
悪意あるQRコードはどこに通報すればよいですか?
日本国内では、フィッシング攻撃(quishing)はJPCERT/CCおよび警察庁サイバー犯罪相談窓口に通報してください。国際的にはGoogle Safe Browsingおよびリダイレクト先URLのホスティングプロバイダにも通報できます。物理媒体上のQRであった場合は写真を撮り、原本を証拠として保管してください。

関連ページ

QR生成サービスの詐欺を見分けるQuishing(QRフィッシング)動的QRのプライバシーリスクQRコードが期限切れになる理由ブラウザQRスキャナ特定商取引法に基づく表記QRコードを無料で作成する方法名刺用QRコードの作り方動的QRコード vs 静的QRコード