本格導入相次ぐQRコード決済、
気になる安全性とセキュリティ事情に切り込む
前回はキャッシュレス化の波に乗って、次々市場に参入するQRコード決済についてまとめました。QRコードのQRはQuick Response(素早い+応答)に由来し、高速読み取りができるように開発されました。「◯◯ペイ」と名付けられたサービスが数多く発表され、国産の二次元コードであるQRコードを利用した決済が主流となっています。コードを手持ちのスマホなどをかざすだけで支払いができてしまう手軽さも大変便利で、各社のキャンペーン効果もあわせ普及が急速に進んでいます。 そのような状況で、セキュリティ面のリスクはないのか踏み込んでみたいと思います。
QRコード決済の安全性は?
スキャミングされない
QRコードを利用したコード決済はクレジットカードなどのキャッシュレス決済より比較的安全性が高いと言われています。その理由としてクレジットカードは、スキャミングやカード自体の盗難などのセキュリティリスクがあります。一方QRコード決済の場合、決済に必要な個人情報がQRコードに変換されてスマホ画面に表示されます。店員にカードを渡すことがないので、カード情報を盗まれたり不正に利用されたりする心配がありません。またカードを持ち歩く必要がないため、カードのように落としたり紛失したりするリスクも軽減されます。
一定時間でデータが無効になる
スマホに表示されたQRコードは一定時間を過ぎると無効になり、不正利用を防ぐ仕組みとなっています。画面のQRコードを撮影して別の支払に使おうとしても、数分後には使えなくなってしまいますので、番号が変わらないクレジットカードに比べて安全性がより高いと言えます。
高い暗号化技術一定時間でデータが無効になる
決済時に読み取られたQRコードは暗号化された状態で決済システムに送信されます。その上、多くのQRコード決済サービスはカード情報保護の国際基準に従っているため、安全性の高い状態で管理されています。
万一自分のスマホを紛失し第3者の手に渡ってしまった場合でも、スマホやQRコード決済アプリを起動させるための暗証番号や指紋人証で本人確認をするように設定しておけば、勝手に起動して使用されるリスクを軽減することが可能です。この点でもクレジットカードよりセキュリティ強度が高いと言えるでしょう。
機種を変更する場合でも、ログインに必要なメールアドレスやパスワードを管理しておけば、新しくアプリをインストールしてもそのまま使用することが可能です。
QRコードの詐欺事例
このように高い安全性を維持しているように思えるQRコード決済ですが、これまでに詐欺等の問題がなかったわけではありません。QRコード決済の普及が進む中国では実際にシステムの隙をついた盗難事例が発生しています。
1.偽造QRコード
スマホ決済「アリペイ」、「WeChatペイ」が社会インフラとして普及している中国では道端の露店でも印刷されたQRコードを軒先にぶら下げている光景が見られます。重慶市の中心部にあるショッピングモール観音橋星天広場にあるフライドチキンのファーストフード店では、「QRコードの上に別のQRコードシールが貼られ、2000元(約3万3000円)の売り上げが盗まれた」と通報がありました。偽のQRコードを店側のQRコードにかぶせて貼るというだけのお手軽偽造で、実際に支払金が盗まれてしまったのです。
2.肩越しにスキャン
2018年8月、山西省晋城市の郭さんがあるファーストフード店で注文レジに並んでいた時に、突然スマホのバイブレーターが振動し、あるビリヤード場へ999元(約1万6000円)を支払ったという決済通知が届きました。監視カメラを確認すると、ファーストフード店で支払いのためにQRコードをスマホ画面に表示させて列に並んでいた郭さんの後ろに怪しい男がいて、郭さんの肩越しに、郭さんのスマホの写真を撮るような素振りを見せて素早く立ち去る様子が写っていたのです。
最近は、CCDカメラの性能やQRコードの画像解析機能が上がってきているので、数10cm離れたところから撮影をしても、QRコードを読み込むことができてしまいます。犯人は、肩越しにQRコードを読み込み、999元を請求して盗んでいました。
3.コード決済におけるクレジットカード番号などの不正利用
昨年末日本国内で大型キャンペーンを始めたPayPayで、クレジットカード番号等の不正利用事例が発生しました。
100億円相当を利用者に還元するキャンペーンを展開し急激に利用者を増やしている「PayPay」だが、11日ころから身に覚えのない「PayPay」決済についてクレジットカード会社から連絡を受けたというTwitter投稿が相次いでいる。PayPay社に状況を確認したところ、「弊社から情報が流出した事実はない」とのこと。数件の問い合わせがあるが、「PayPay」側では不正使用かどうかを判断できないため、「お客様自身でクレジットカード会社にお問い合わせくださるよう」案内しているとの回答だった。
こちらはコード決済そのものの詐欺ではなく、セキュリティコードを含む、カード情報が何らかの方法で入手され、それがPayPayに登録された可能性が高いという見解です。PayPayではクレジットカード登録時に「3Dセキュア」に対応するなどの安全策を取っていくと公表しています。
QRコード決済の安全性を高める動き
先ほどの事例1つ目の偽造QRコードについては、店舗側が顧客のQRコードをスキャンする方式であれば防ぐことが可能です。日本で普及しているQRコード決済サービスは、店舗やお客様のアプリにQRコードを表示する方式が主流ですが、印刷したQRコードで決済できるサービスもやはり存在します。QRコードのすり替え詐欺が心配な場合には、手持ちの端末でQRコードを表示する方式を選ぶ方が無難です。実際中国でも、電子ディスプレイを導入し始める店舗も増えています。2つめの事例もレジに並んでいるときにQRコードを表示せず、支払う直前に表示するようにするなど自衛が必要になってきます。
客側が気を付けるだけでなく、提供側もテクノロジーを使って詐欺がなくなるよう対抗しています。例えば中国では顔認証などの生体認証を利用する方式への移行が始まっています。日本でも偽造コードを検出する技術の開発などが進んでいます。
キャッシュレス推進協議会によるガイドライン策定
また昨年のPayPayでの事例も踏まえ、経済産業省も加わるキャッシュレス推進協議会は、スマートフォンアプリによるバーコードやQRコードを用いた決済における、クレジットカード番号等の不正利用防止対策についてガイドラインを策定し、今年の4月16日に交付するなど、安全面の整備に乗り出しています。
- 統一QRコード・統一バーコードの仕様策定
コード決済で用いられるQRコード・バーコードの仕様は、これまで各コード決済事業者によって異なっていました。これを統一することで店舗側の負担をなくし、利便性を高めます。
引用:キャッシュレス推進協議会HP コード決済のクレジットカード情報不正利用を防ぐガイドライン
ガイドラインではコード決済サービスのアカウント作成時の対策には、本人確認の徹底や事業者が持つ周辺情報の活用を、カード情報登録時には、セキュリティコードの入力回数制限や、リスクに見合った本人認証方法の選択、カード登録までに収集した情報の活用、登録できるカード枚数の制限などを挙げています。また、クレジットカード事業者においても、コード決済サービス事業者との連携や不正対策などを求めています。コード決済の普及や活用を推進するために、政府もより高いセキュリティで運営されるよう動いています。
最後に
2018年から日本で本格的に普及が始まったQRコード決済は、まだ安全面で課題も残ります。利用者が安全に使用するには、利用するスマホに必ずロックを掛ける、紙に印刷されたコードを使わない、被害補償が充実したサービスを使うといった自己防衛も必要になってきます。
また店舗側にとっても集客面や利便性などメリットの大きいコード決済を普及させるには、ガイドラインやセキュリティ基準を満たした決済方法の提供などが必須となるでしょう。キャッシュレス決済の選定方法や安心して利用者に使ってもらうためのセキュリティ対策などは専門知識を有す場合もあるので、専門の業者に相談してみることが店側の信用を深めることにもなるでしょう。
