今やネットの他、街中でも見かけることができる「〇〇Pay」サービス。スマホ1つで財布を持たなくても決済が可能で、ポイントも貯まるという理由で急速に普及しています。しかしその一方では、不正ログインによるトラブルやアカウントの乗っ取り被害が重大な問題となっています。今回は便利なスマホ決済に潜むセキュリティリスクや注意点をまとめてみました。
「スマホ決済の不正利用」が脅威の1位に
IPA(独立行政法人情報処理推進機構)は「情報セキュリティ10大脅威2020」を公表しています。これは情報セキュリティにおける脅威の中で、2019年に社会的影響が最も大きかった10個のトピックを「10大脅威選考会」の投票により選出したものです。その中でも、「スマホ決済の不正利用」が初登場ながら個人に対する脅威の第1位になっているのをご存知でしょうか?
引用: IPA
スマホ決済サービスは、各社の相次ぐ新規参入とキャッシュレスの利便性により、急速に利用機会が広がりました。また、2019年10月1日の消費税増に併せ、消費者還元事業(ポイント還元事業)が開始されました。それに合わせメルペイやau PAYなどの決済サービスが相次いでリリースされ、普及の追い風となりました。しかし、一部のスマホ決済サービスでは決済方法の不備により、利用者が金銭被害に遭う事案が発生しています。インパクトの大きかったものとしては、セブン&アイ・ホールディングス傘下のセブン・ペイが7月に開始した「7pay」でサービス開始直後から不正ログイン被害が続出したことを挙げられます。その後セブン・ペイは約3カ月でサービスから撤退し、再び大きなニュースになりました。8月には金融庁、経済産業省、個人情報保護委員会がキャッシュレス決済事業者全体にセキュリティ対策の強化を要請するなど、業界全体に影響を与えています。そのためIPAでは、新たなサービスを利用する際に提供されているセキュリティ機能を利用すると同時にに、不正利用されていないか決済情報や利用明細を確認するなどの注意を求めています。
スマホ決済サービスのリスク
決済サービスを偽装したフィッシング詐欺
不正アクセスによりアカウントを乗っ取られたり不正ログインされる原因として、「フィッシング詐欺」により決済サービスの認証情報(IDとパスワード)を詐取されてしまうケースがあります。フィッシング詐欺は金融機関、ショッピングサイト等の実在する有名企業を名乗るメールを送信し偽のWebサイト(フィッシングサイト)へ誘導することにより、銀行口座情報、クレジットカード情報、ID、パスワード、氏名等の重要な情報を詐取する詐欺です。実際、PayPayの利用者に向け、「アカウントの異なる端末からのアクセスのお知らせ」などと通知するメールを経由し、受信者をフィッシングサイトへ誘導した手口が報告されています。本文内のURLリンクを開くとPayPayのロゴ入りのフィッシングサイトが現れ、そこに入力した認証情報(携帯電話番号とパスワード)や個人情報、クレジットカード情報などを騙し取られてしまいます。
フィッシング対策協議会は2020年4月にフィッシングに関する集計結果を発表しました。これによると、同協議会に寄せられたフィッシング報告件数は前月の7,630件から9,671件に増加し、1万件が目前に迫る件数となりました。フィッシング報告件数は1月には6,653件まで減少していましたが、その後徐々に増加しフィッシング詐欺が増加した2018年以降で最大の値になっています。フィッシングサイトのURL件数(重複なし)は、前月より1,095件増加した4,136件で、こちらも大きく上昇しています。Amazonや楽天の他、AppleやLINEといったオンライン決済サービスを提供する企業を騙るフィッシングメールが大量に配信されていることが報告されています。
パスワードリスト攻撃による認証突破
複数のインターネットサービスで決済サービスと同一のIDとパスワードを使い回しており、その組み合わせが漏えいしてしまった場合、不正ログインの被害に遭う可能性が高まります。被害者が複数のサービスで同一のパスワードを使いまわしている場合、攻撃者は過去に漏えいしたパスワードをリスト化し、それをもとにログインを試みます。これは「パスワードリスト攻撃」とよばれる攻撃手法です。不正ログインが成功すれば、被害者になりすまして不正利用が行われます。また、スマホ決済サービスより提供される二要素認証等のセキュリティ機能を利用していない場合、漏えいしたパスワードのみで不正ログインできるため、攻撃者に悪用される可能性が高まります。
スタバアプリで不正アクセス 計18万円分を利用される
2019年10月25日
スターバックスコーヒージャパンで、キャッシュレス決済ができる会員アプリが不正アクセスを受けたことが、25日わかった。16~18日に他人のパスワードを使った不正なログインがあり、計約18万円分が勝手に利用されたことが確認されたという。同社は24日、オンライン入金やオートチャージ機能を停止し、会員にパスワードの変更と再設定を呼びかけている。
引用: 朝日新聞
こちらは大手コーヒーチェーン店「スターバックス」で発生した、パスワードリスト攻撃が原因である不正アクセスのニュースです。パスワードリスト攻撃は古典的な攻撃手法ですが、現在でもこの様に被害を広げています。
企業で開発したスマホ決済サービスの不備の悪用
スマホ決済サービスのリスクはユーザー側だけでなく、開発側にも生じます。スマホ決済サービスを開発する際にセキュリティを十分に考慮していない場合、決済用システムやアプリに脆弱性を残す恐れがあります。攻撃者はその脆弱性等の不備を悪用し、利用者が意図しない決済等を行えます。また、二要素認証やサービスの利用状況の通知機能等、セキュリティを強化する機能をサポートしていないスマホ決済サービスは、攻撃者に悪用される可能性が高まります。
2019年7月、経済産業省は特定のコード決済サービスにおいて、アカウントが第三者に不正にアクセスされ不正利用される事が多発している状況を踏まえ、決済事業者等に対して不正利用防止のための各種ガイドライン遵守とセキュリティレベル向上に努めるよう要請しています。事業者にもリスクを回避するための責任が重く課せられています。
スマホ決済サービスを利用する際注意するポイント
利便性とリスクの把握
スマホ決済はとても便利な決済手段ですが、悪意のある第三者に不正利用されるリスクも兼ね備えています。よって、利便性とリスクの把握を常にしておくことが重要です。特に今は小学生にもスマホを持たせている親も多いですが、子供の決済サービス利用についてルールをきちんと定める必要があります。
ID・パスワードの使い回しはしない
登録時には必ず、サービスごとに異なるIDとパスワードの組み合わせを使用し、第三者に推測されにくいパスワードを設定しましょう。パスワードリスト攻撃で説明したように、ID・パスワードの使い回しは非常に危険で、どこか一か所で使いまわしているパスワードが流出すると芋づる式に利用サービスのパスワードが破られてしまいます。
フィッシング詐欺対策
フィッシング詐欺対策として、メールやSMS、広告などから誘導されたWebサイトではなく、必ず正規サイトからログインするようにします。各サービス事業者やセキュリティ関連団体の公式サイトでは不正なメッセージの例を紹介しています。利用中のサービスの事例を知り、自衛策に役立てましょう。
二要素認証の有効化
主なスマホ決済サービスでは、パスワード認証とは別に二要素認証などセキュリティを強化できる認証方法を提供しています。二要素認証とは、本人確認のため異なる要素を2つ組み合わせる方法を言います。設定できる場合は必ず有効にしておくことが必須です。また、最近のフィッシング詐欺には二要素認証の認証コードを入力させるものもあります。認証情報を入力する前に、必ず正規サイトかどうか確認しましょう。
生体認証などで端末を守る
カード型・端末型の電子マネーの場合、端末を紛失すると残っている残高が不正利用される可能性があります。そのため、スマホの端末自体を顔認証や指紋認証等の生体認証でしっかり守ることも重要です。スマホの紛失や盗難のリスクに備え、GPSを使ってスマホの現在地を特定したり、遠隔でデータを消去したりするサービスの利用も有効です。
利用履歴の確認
利用履歴を定期的に確認し、身に覚えのない決済がされていないかを確認しましょう。もし身に覚えのない決済履歴を見つけた場合は、直ちにサービス事業者やクレジットカード事業者に相談しましょう。
さいごに
不正利用を防止するためのセキュリティ対策には、当たり前だと思われる対策を地道に実行していくことが大切になります。スマホ決済は今後より一層普及していくとともに、将来的にはクレジットカードのようなメジャーな支払い手段の1つになっていくと予想されます。だからこそ、日頃から不正利用を防止する意識を持つようにしましょう。
