先に筆者は、特定のURLに誘導するQRコードで、気付かないうちに別のURLに誘導できる「偽装QRコード(fake QR code)」を開発し、QRコードの脆弱性について、その注意喚起を行った。この偽装QRコードを使えば、通常、正常なサイトに誘導され、安心して使用していると、ある日突然、不正なフィッシングサイトに導かれ、個人情報やそのサイトを利用するパスワード等のアクセス情報を詐取されてしまうのである。このQRコードの問題の原点は、QRコード自体が人の目では正しいか否か判断できないことであり、QRコード自体の構造をほとんどの人が理解していないことにある。特にQRコードを作成する側が不正をはたらくことによって、偽装QRコードを有効に作用させることができる。

偽装QRコードと同様、QRコードを作成する側が何らかの仕組みをQRコードに取り入れることによって、QRコードの利用者が予期しない動作を行うことが考えられる。偽装QRコードはQRコードリーダーの開発元に関わらず、QRコードの利用者が予期しない動作を導く高度な手法であった。しかしながら、QRコードリーダーの開発元とQRコード自体の作成する側が手を組むことにより、利用者が予期しない動作を容易に起こすことができる。

上記のスラドの記事にあるように、株式会社デンソーウェーブと、アララ株式会社が共同開発している「公式QRコードリーダー "Q"」を利用して、公式QRコード作成サイトで作成したQRコードを読み込んだ場合、読み込んだ場所、それも緯度・経度からなるGPS情報が収集されてしまうのである。公式QRコードリーダー"Q"のアプリには、QRコード作成者に位置情報が送られることは記載されておらず、まさにスラドの『Webサイトへの訪問時であればログが残るのは当然のことであるが、QRコードを読み取っただけで、時刻や位置情報までもが、作成者に伝わるのはいかがなものだろうか？』との疑問は正しいであろう。

QRコードはキャッシュレス決済の有効な道具として注目されており、上記のような報道もある。今後、官民による協議会も立ち上げられる予定とも聞いている。QRコードの規格作りの際には、QRコード自体の脆弱性である視認による真贋判定の困難さの克服だけでなく、QRコードの作成側の不正、さらにQRコードを読み取る側のリーダーアプリの不正にも十分対処した規格作りが望まれる。

【追記】（2018年8月28日１１：０６）　現在、（公式）QRコード作成サイトでは、緯度経度情報の提供終了をアナウンスしている。