キャッシュレス決済が広まる中、ECサイト・店舗のどちらにおいてもスマートフォン一つで支払いが完結するスマホ決済が今、広がっています。スマホ決済とはスマートフォンを用いた決済サービスで、主流のQRコード決済の他、スマホに登録されたクレジットカードや電子マネーを用いて支払う非接触IC方式、通信会社の通信料金とまとめて支払うキャリア決済等があります。現金やクレジットカードがなくても決済できるという利便性から顧客のニーズも高まっていることに加え、政府が推進している「キャッシュレス化」も追い風となり、導入を検討する事業者も多くなっています。 一方でそのセキュリティリスクも無視できません。今回はスマホ決済の仕組みとメリットと共に、注意すべきリスクについても併せてご紹介していきたいと思います。

 

スマホ決済の仕組みとメリット

QRコード決済

QRコード決済には、ユーザスキャン方式とストアスキャン方式の大きく分けて2つの決済方式があります。スマホ決済アプリにてQRを表示し、店舗側で読み取る、もしくは店舗側が提示するQRコードを読み取って利用します。非接触IC決済とは異なり、銀行口座があれば決済ができるため、クレジットカードを持っていなくても利用できます。Android、iOSといったスマートフォンのOSに依存しないため、アプリをダウンロードすればほとんどの機種で利用できるのがメリットです。店舗側にとっては、クレジットカード決済などよりも初期費用を抑えることができ、QRコードを読み込めるスマホやタブレットさえあれば対応できます。日本国内のQRコード決済では、PayPay、LINE Pay、楽天ペイ、メルペイ等のサービスが乱立しています。一定時間でデータが無効となるので安全性が高いと言われています。一方で、偽造QRコードのリスク、肩越しに自分のQRコードをスキャンされて無断利用される事例なども報告されています。

 

非接触IC方式

非接触IC決済とは、Apple PayやGoogle Pay、おサイフケータイなどに代表される決済サービスです。顧客は、スマートフォンの決済アプリに電子マネーを取り込み、クレジットカードを登録することで利用可能になります。Apple Payは日本で発行されるクレジットカードの多くと連携することができ、電子マネーはSuica、iD、QUICPayに対応しています。iPhone 7以降の機種ならば電子マネーとクレジットカードを登録することで、iPhoneを決済端末にかざすだけで決済もできます。Google PayはGoogleアカウントに登録したクレジットカード情報を利用して、商品代金を支払える決済手段です。Androidのスマートフォン向けの決済サービスで、楽天Edyやnanaco、Suica、WAONなどの電子マネーを中心に対応しています。

 

キャリア決済

キャリア決済とは、ECサイトでの買い物の際に各キャリアのID/パスワード認証を利用して、携帯電話料金と合算で商品などの代金を支払える決済手段です。自分の携帯電話で簡単に決済が出来るため、クレジットカードを持っていなくても利用可能です。DoCoMoの「ドコモ払い」、SoftBankの「ソフトバンクまとめて支払い」、auの「auかんたん決済」といったキャリア決済サービスがあります。クレジットカードが不要という点で、カードを持てない10代、20代の若年層等、これまでアプローチできなかった顧客層への拡大が見込めます。その他、ざわざわクレジットカードを取り出して買い物をする必要がないので、電車の中など人目がある場所でも気軽に購入でき、ショッピングカートのカゴ落ち対策になるというメリットもあります。また各キャリアが代金の立替払いをするので店舗側にとっては未回収のリスクを減らす事が可能です。

 

スマホ決済の不正利用が情報セキュリティ10大脅威 2020の1位に

情報処理推進機構（IPA）が1月29日、個人と組織における「情報セキュリティ10大脅威 2020」を発表しましたが、その中にランクインした「スマホ決済の不正利用」は、初登場で個人における脅威の1位になってしまいました。便利なスマホ決済ですが、非常に気を付けなければいけないリスクにあげられています。2019年に多くの企業がスマホ決済サービスへ新規参入し、キャッシュレス人気に乗じて急速に普及したものの、一部の企業では決済方法の不備が原因となって不正利用が相次ぎ、利用者が金銭的被害を受けたことで、サービスの中止に追い込まれる事態が起きています。

 

セブン-イレブンの「7pay」の不正アクセス事件

コンビニ最大手のセブンｰイレブンが7月1日から始めたスマホ決済「7pay」は2日から不正アクセスの問い合わせが相次ぎ、3日にクレジットカードやデビットカードによるチャージを停止。そして「7pay」が不正利用に見舞われた問題で、セブン＆アイ・ホールディングス（HD）は2019年7月16日、被害を確認できた利用者が1574人、被害金額が約3240万円に上ると明らかにしました。サービス開始から1ヵ月で撤退が発表されるという異例の展開であり、事件の世間に与えたインパクトも大きなものでした。

 

7payの場合は原因として二段階認証等のセキュリティがなかったこと、そして驚くべきことに誰もがパスワードをリセットできる仕様だったことがあげられています。楽天ペイ、LINE Pay、PayPay、ファミペイ等は登録したメールや契約番号へのSMS以外にパスワードリセットの通知を送ることはありません。あまりに7payのセキュリティがずさんだったことが問題ですが、他のサービスだから安全だとは言い切れません。他社も事件が起こっています。

 

PayPay不正利用事件

7pay事件に先立つ2018年12月、PayPayが不正アクセスされ、クレジットカードを不正利用される事件が発生しました。カード番号が流出したことに加え、クレジットカードのセキュリティコード（カード裏面に記載されている3桁の数字）の入力を、何回間違えてもよい作りにしていたことが原因のひとつにあげられています。12月18日にはクレジットカード情報の入力回数に制限を設けて対策を行ったものの、不正利用の主な要因は、悪意ある第三者が外部から入手したクレジットカード情報を利用した可能性が高く、クレジットカード情報の入力回数に制限を設けるだけでは根本的な対策にはならないと判断し、3Dセキュアへの対応を行うことを決定し、現在は対応されています。PayPayの対策の結果、第2弾の大型キャンペーン時の不正利用は0.0004％まで減少したということで、万が一の補償体制も整えました。

 

不正利用の被害に遭わないためには

パスワードの管理と運用

スマホ決済の不正利用に遭う原因はいくつか考えられますが、その１つとして不正ログインがあげられます。フィッシング詐欺によって決済サービスの認証情報（IDとパスワード）を詐取された場合や、複数のインターネットサービスで決済サービスと同一のIDとパスワードを使い回しており、その組み合わせが漏えいしてしまった場合、不正ログインの被害に遭う可能性が高まります。

 

また「ブルートフォースアタック（総当たり法攻撃）」「辞書攻撃」といった古典的な手口で、短いパスワード、推測されやすい語句を使用したパスワードなどは簡単に破られます。実際、パスワードをセキュリティ手段にしている以上、100％被害を防ぐことは難しいと専門家も指摘していますが、今も多くの手段のひとつにパスワードが使われています。それを念頭に少しでもリスクを減らす運用を心がけるべきでしょう。

 

急増する「スミッシング詐欺」への警戒

フィッシングの手口で増えているのが、スマホに届くSMSを使ったフィッシング＝スミッシングです。携帯キャリアや宅配業者を装ってSMSを送信、URLをクリックさせ、偽サイトに誘導する手口です。キャリアを装う場合、たとえばDoCoMoなら、まず偽サイトでアカウントとパスワードを入力させ、加えて本人確認として銀行口座の情報を入力させてログインパスワードなどを盗む手口です。さらには、銀行のワンタイムパスワードまで入力させます。セキュリティ面で信頼性が高いとされるワンタイムパスワードを使用しても、被害者自身が入力してしまえば、瞬時に口座から不正送金がされてしまう可能性があります。SMSのメッセージに記載されているURLをチェックし、よくわからないスマホアプリはダウンロードしないように心がけることが大切です。

 

カードの保管の徹底

そもそもクレジットカードは、「カード番号」「氏名」「有効期限」「セキュリティコード」がわかれば決済が可能となります。落とせばすべての情報を盗み取られてしまいます。

 

さいごに

IPAは、スマホ決済の不正利用について、「新サービス利用時は、提供されるセキュリティ機能の利用と同時に、不正利用の有無を決済情報や利用明細で確認することが求められる」と警告しています。便利なのでなんとなく使っているサービスですが、日ごろから警戒心をもって自ら注意すると共に、こまめな利用明細のチェックなどで早期の発見、対策も有効になってきます。自分の使っているサービスが信頼できる会社のものか、その会社がきちんとしたセキュリティ体制を敷き、補償などにも対応しているかもチェックしておくことが望ましいかもしれません。