QRコード詐欺を”開く前に防ぐ”── ZeroBankXのOPENQR™が目指す次世代セキュリティ基盤
ZeroBankX PTE. LTD.(本社:シンガポール)は、QRコードのリンク先をアクセス前に確認できる新しい仕組み「OPENQR™(オープンQR)」の構想を発表した。同社はこの考え方を「STOPPABLE QR」と呼び、世界初と位置づけている(2026年2月12日・自社調べ)。
中核機能「OPENQR™ CHECK」では、QRコード読み取り後、リンク先へ遷移する前にSAFE・WARN・BLOCKの3段階で安全性を判定する。2026年3月16日(月)10:00よりOPENQR™ CHECKのライブ体験公開およびサミット参加受付を開始する。
イベント「OPENQR™ SUMMIT TOKYO 2026」は3月24日(火)、渋谷スクランブルスクエア42Fにて17時30分より開催され、定員は最大80名(先着順)である。サミット終了後には表参道「TRATTORIA 庭」でVIP経営者交流会(35名限定・選抜制)も予定されている。
From: 
世界初「STOPPABLE QR」QRを”読み込む前に止める”構想を発表 ─ 【OPENQR™ SUMMIT TOKYO 2026】開催
【編集部解説】
「QRコードを読み込む前に止まれる」──一見シンプルに聞こえるこの発想が、なぜ今、注目に値するのでしょうか。
QRコードを悪用したフィッシング詐欺、いわゆる「クイッシング(Quishing)」は、世界規模で急増しています。ProofpointやKasperskyなどの報告では、2025年にQRコードを悪用した脅威の急増が確認されています。また別の調査では、Proofpointは2025年上半期だけで420万件超のQRコード脅威を確認したと報告しています。Palo Alto Networksのセキュリティ研究部門・Unit 42は、悪意あるQRコードの検出数が1日平均1万1,000件超に達していると報告しており、この問題は既に「一部の人の話」ではありません。
なぜQRコードが狙われやすいかといえば、その構造にあります。URLは目で見て怪しさを判断できる余地がありますが、QRコードはスキャンするまで中身が分かりません。さらに、メール内に埋め込まれたQRコードは画像として処理されるため、テキストリンクを監視する従来のセキュリティフィルターをすり抜けやすいという特性を持っています。攻撃者はこの「確認できない構造」を意図的に利用しています。
ZeroBankX が提案する OPENQR™ は、こうした構造的な弱点に対し「アクセス前の検証(Pre-Reference Verification)」という概念で応じるものです。技術仕様としてIETFへ提出されている「SRL(Secure Resource Layer)」では、URLやQRコードなどデジタルリソースへのアクセス前に、発行元の正当性・失効状態・信頼性を評価するプロトコルが定義されています。既存のインターネット標準やブラウザ、OSへの変更を必要とせず、段階的に実装できる設計を謳っており、現実的な普及戦略を意識した設計思想は評価に値します。
一方で、冷静に押さえておくべき点もあります。IETFのデータトラッカーに登録されているこのドラフトは、あくまでも個人提出のインターネットドラフトであり、IETFが承認・推奨する標準規格ではありません。ドラフト自体にも「This I-D is not endorsed by the IETF and has no formal standing」と明記されています。これは技術の価値を否定するものではありませんが、「IETFに仕様が登録された」という表現と「IETFの標準規格になった」は全くの別物であり、読者として区別して受け取る必要があります。
「リンク先の事前確認」という考え方自体は、完全に新しいわけではありません。iOSやAndroidはすでにQRスキャン後にURLプレビューを表示する機能を備えており、学術研究の場でも同様のアプローチが複数提案されています。OPENQR™の差別化ポイントは、こうした個別機能の実装にとどまらず、それをプロトコルレベルの共通基盤(インフラ)として標準化・普及させようとするビジョンにあります。HTTP→HTTPSという移行が「暗号化」をWeb全体のデフォルトにしたように、「参照前検証」をデジタル接点のデフォルトにするという構想は、技術史的に見ても意義深い問いを投げかけています。
課題もあります。OPENQR™のような参照前検証モデルが機能するためには、信頼情報を管理する「トラストレジストリ(Trust Registry)」の運営主体・ガバナンスをどう設計するかが鍵になります。中央集権型になれば、そのレジストリ自体が攻撃対象や検閲の手段になるリスクを孕みます。SRLのドラフトでは分散・連合型のレジストリも想定されていますが、具体的なガバナンスポリシーは「各実装に委ねる」とされており、今後の設計次第で信頼性は大きく変わりえます。
就実小学校で2026年1月28日より実運用を開始し、2月10日にその実施内容が公表されたという実績は、小さいながらも具体的な第一歩です。今回のサミットでは教育・物流・金融・医療・行政など幅広い業界を射程に入れており、この構想が社会インフラとして根付くかどうかは、今後のパートナーシップとオープンな技術議論の積み重ねにかかっています。「触れる前に信頼できる」デジタル社会の実現に向けた問いとして、注目し続ける価値があります。
【用語解説】
クイッシング(Quishing)
「QRコード(QR)」と「フィッシング(Phishing)」を組み合わせた造語。QRコードに悪意あるURLを埋め込み、ユーザーを偽サイトやマルウェア配布ページへ誘導するサイバー攻撃手法。通常のフィッシングとは異なり、リンクが画像として隠蔽されるため、従来のメールセキュリティフィルターで検知されにくいという特性を持つ。
SRL(Secure Resource Layer)
ZeroBankX が提唱する「参照前検証」のための新しいインターネット層のコンセプト。URLやQRコードなどデジタルリソースへのアクセス前に、発行元の正当性・失効状態・信頼性を評価するプロトコルとして設計されている。既存のインターネット標準・ブラウザ・OSへの変更を必要とせず段階的に実装できる設計を謳っている。
インターネットドラフト(Internet-Draft)
IETFに提出される作業中の技術文書。誰でも提出でき、最大6ヶ月の有効期限がある。正式なRFC(Request for Comments)規格とは異なり、IETFからの承認・推奨を意味しない。「仕様を策定中」という段階を示すものであり、IETFの標準規格と混同しないことが重要である。
アクセス前の検証(Pre-Reference Verification)
ユーザーがリンク先へ実際に遷移する前の段階で、そのリソースの安全性・正当性・失効状態を評価するプロセス。OPENQR™が採用する設計思想であり、SRLドラフトの中核概念でもある。「開いてから気づく」構造から「開く前に判断する」構造への転換を意味する。
トラストレジストリ(Trust Registry)
信頼情報を管理するデータベース・仕組みの総称。SRLの設計では、発行元の正当性・ガバナンスルール・失効情報を保持するレジストリが必要とされる。中央集権型・連合型・分散型のいずれの構成も想定されているが、その運営主体とガバナンスの設計が信頼性の根幹を左右する。
【参考リンク】
OPENQR™ SUMMIT TOKYO 2026 公式サイト(OPENQR PASS™)(外部)
ZeroBankXによるOPENQR™の公式参照ページ。SUMMIT TOKYO 2026の参加受付はこちらから。QRを読み込む前にリンク先の安全性を確認できる新しい信頼インフラの構想を発信している。
ZeroBankX 公式サイト(外部)
OPENQR™ / SRL™ / Trust Networkの開発・提供を行うシンガポール法人ZeroBankX PTE. LTD. の公式サイト。代表者はムロフシ ヨシオ氏。2025年8月設立。
IETF Datatracker ─ draft-zerobankx-srl-core(外部)
ZeroBankXがIETFへ提出したインターネットドラフト「SRL Core」のページ。現バージョンはdraft-zerobankx-srl-core-02(2026年1月26日更新)。IETFが承認・推奨する標準規格ではない点に注意が必要だ。
Abnormal Security ─ The Rise of QR Code Phishing Attacks(外部)
クイッシング攻撃の実態を詳細に分析したAbnormal Securityの調査レポート。2023〜2025年にQRコード攻撃が400%増加したというデータの発信元。攻撃手法や主要な標的についても解説している。
Unit 42(Palo Alto Networks)─ QR Codes as Attack Vector(外部)
Unit 42による脅威分析レポート。1日平均1万1,000件超の悪意あるQRコード検出という数値の出典元。QRコードショートナーの悪用傾向や業界別被害状況を詳細に分析している。
【参考動画】
現時点では、OPENQR™に関する公式チャンネルおよび信頼度の高いチャンネルによる解説動画は確認できませんでした。
【参考記事】
QR Phishing Statistics: Quishing Trends(Keepnet・2026年2月更新)(外部)
2025年初頭だけで420万件超のQRコードフィッシング脅威が確認されたこと、同年のフィッシング攻撃全体の12%にQRコードが含まれていたことなど、具体的な統計データを豊富に掲載したクイッシングの統計・トレンドまとめ記事。
QR Codes as Attack Vector(Unit 42 / Palo Alto Networks)(外部)
悪意あるQRコードの検出数が1日平均1万1,000件超に達していることを報告した脅威分析レポート。QRコードショートナーを悪用した攻撃の増加傾向や、金融サービス分野への集中(全体の29%)も詳述している。
QR code phishing attacks increased by 400%(Zensec)(外部)
QRコードフィッシングが2023〜2025年で400%増加したというAbnormal Securityのデータを引用。マルウェア・ランサムウェアとの連鎖リスクや業界別の被害傾向も詳細に分析した2026年向けフィッシング統計記事。
QR codes are getting colorful, fancy, and dangerous(Help Net Security・2026年1月)(外部)
米国人の73%が行き先を確認せずにQRコードをスキャンし、2,600万人以上が悪意あるサイトへ誘導されたというNordVPNの調査データを報告。米国FTCや各自治体によるクイッシング警告の動向も伝えている。
Top 11 Trends in Phishing Attacks In 2026(CloudSEK)(外部)
英国では2024年4月〜2025年4月の1年間でクイッシング被害が784件報告され、被害総額が350万ポンド近くに上ったデータを掲載。物理的な公共空間(駐車場・駅など)での被害拡大についても言及した2026年のフィッシング攻撃トレンド記事。
Phishing statistics 2025-2026(captaindns.com)(外部)
2025〜2026年のフィッシングトレンドを詳述した記事。QRコード攻撃が2023年から2025年の間に400%増加したというAbnormal Securityの数値の参照元のひとつ。エネルギー・医療・製造業が最も被害を受けたセクターとして挙げられている。
【編集部後記】
「QRコードを読む前に、立ち止まれる」という発想に、どんな印象を持ちましたか。便利さと安全性はトレードオフだと半ば諦めていた自分に気づいたのは、私だけではないかもしれません。
HTTPからHTTPSへの移行がWebの「信頼」を底上げしたように、次のデジタルの当たり前がどこから生まれるのか。その問いを、ぜひ一緒に追いかけさせてください。
