偽のQRコードを端末に張り付け別の業者に入金させる手口
スマートフォン(スマホ)のアプリを立ち上げるだけで、店頭で決済ができるQRコード決済(スマホ決済)。手軽な決済手段として注目を集める一方、便利さゆえに脆弱(ぜいじゃく)性も併せ持っている。週刊エコノミスト10月1日号の巻頭特集「キャッシュレス大混乱」より、ダイジェストでお届けする。【エコノミスト編集部・村田晋一郎、加藤結花】
スマホ決済の売り上げが計上されず…
スマホ決済には、ユーザーが自分のスマホにQRコードを表示し、店舗側が端末で読み取る「利用者提示型」と、店頭で表示されたQRコードをユーザーがスマホで読み取る「店舗提示型」の2通りがある。利用者提示型の場合は、店側はQRコードを読み取るための端末を用意する必要があるが、店舗提示型の場合は、QRコードを印刷した紙をレジに置くだけでよいので、コストを掛けずにスマホ決済が導入できる。
編集部が取材を進めたところ、QRコードを使ったスマホ決済に、安全面で重大な欠点があることが判明した。
都内のある繁華街の飲食店での出来事だ。この店が店舗提示型のスマホ決済を導入した。飲食店では支払いを現金でやりとりすると、現金を扱うたびに店員は手を洗う必要がある。ここでスマホ決済、しかも客にQRコードを読み取ってもらうだけの店舗提示型であれば、店員の業務効率も格段に向上する。この店もスマホ決済の導入でその恩恵を見込んでいた。
ところがある時、スマホ決済経由の売り上げが数日間全く計上されない事態が発生した。不審に思った店が確認したところ、レジに置いてあるQRコードの上から別のQRコードが貼ってあった。客は店に代金を支払ったつもりだったが、実際にはQRコードを偽造した何者かの口座に送金されてしまっていたのだ。犯人はスマホ決済経由で店の売り上げを奪っていたことになる。飲食店では、店員は接客で慌ただしく店内を動き回るものの、レジには会計時しか立たないことが多い。その隙(すき)を突かれた格好だ。
QRステッカーは簡単に作れる
QRコードはもともとデンソーが開発したが、技術を公開したことで広く普及。一般的に利用するためのスマホアプリもあり、QRコードは簡単に作成できる。前述の飲食店の不正利用の偽QRコードもコード自体は容易に作成されたものだろう。
犯罪者側が店舗提示型でQRコードを偽造する手法は「ステッカー型」ともいわれている。偽のQRコードを印刷したステッカーを正しいQRコードの上に貼っていく。中国では、レンタル自転車のQRコードに偽のQRコードが貼ってあったり、駐車違反の切符に付いている罰金支払い用のQRコードに偽のQRコードを貼ったりする手口も確認されている。こうした犯罪を防ぐためには、店舗側の管理体制を強化しておく必要がある。
他人のQRコードをスキャンする手口
もう一方の利用者提示型のスマホ決済でも不正利用は起こりうる。他人のスマホに表示されたQRコードを撮影し、その画像をQRコードリーダーで読み取りコード番号が分かれば、同じQRコードを複製できる。
中国山西省で発生した事例では、スマホ決済をしようとスマホの画面に自分のQRコードを表示した状態でレジに並んでいた人のQRコードが第三者に読み取られた。被害者の後ろにいた犯人がスマホのQRコードリーダーで被害者のQRコードをスキャン。被害者のQRコードを使用して会計を済ませたという。
もちろんスマホ決済にもセキュリティーは施されており、スマホに表示されるQRコードは有効時間が設定されている。日本では「ペイペイ」や「LINEペイ」など各社は、5分を過ぎると新しいコードに更新される仕様となっている。ただし不正利用の手口に習熟した犯罪者なら5分あればQRコードを複製・偽造し、決済することは可能だ。
スマホ決済をスムーズに済ませるために、あらかじめアプリを立ち上げてレジに並ぶ人は多いが、その際には他人にスマホ画面を見られてはいけない。
問われる決済事業者の運用体制
消費者や小売店がスマホ決済の使用に注意するだけでなく、スマホ決済事業者も運用体制を強化する必要がある。
スマホ決済は、インターネットショッピングをスマホを用いて実店舗で展開したものといえる。ネットショッピングはメールアドレスなどのIDとパスワードを入力して決済しているが、スマホ決済はID・パスワードに相当するものがQRコードになる。
ネットショッピングの決済にはクレジットカードが用いられている。そのクレジットカードの不正利用はかつては偽造カードによる被害が多かったが、ICカードの登場により偽造カードの被害は減少。代わって、その他の不正利用、特にカード番号盗用による被害が急増している。スマホ決済もネットショッピングと同じ仕組みであることを考えると、コード番号盗用を犯罪者集団から狙われているといってよい。既に「セブンペイ」が7月のサービス開始直後に中国からの不正アクセスを受け、サービス停止に追い込まれた。
日本に限ってもクレジットカードは50年以上の歴史を有するのに対し、スマホ決済はわずか数年。クレジットカード決済も脅威にさらされてはいるが、スマホ決済のセキュリティー対策の方が劣っていることは否めない。セブンペイの問題だけでなく、昨年12月には「ペイペイ」でも不正利用が多発した。もちろんスマホ決済事業者もその後、対策を強化しているが、10月の消費増税を機に利用者が増えるとすると、セキュリティーには万全を期す必要がある。
◇ ◇
この記事は、週刊エコノミスト10月1日号の巻頭特集「キャッシュレス大混乱」の記事をウェブ用に編集したものです。連載「週刊エコノミスト・トップストーリー」は原則、毎週水曜日に掲載します。
コメント