週刊エコノミスト Onlineキャッシュレス大混乱

「QRコード詐欺」にご用心 簡単な手口で多発する被害=村田晋一郎/加藤結花

     スマートフォン(スマホ)のアプリを立ち上げるだけで、店頭で決済ができるQRコード決済(スマホ決済)。スマホが生活の一部となってきた現在、手軽な決済手段として、大きな注目を集めている。しかし、その便利さゆえに脆弱(ぜいじゃく)性も併せ持っている。

     スマホ決済には、ユーザーが自分のスマホにQRコードを表示し、店舗側が端末で読み取る「利用者提示型」と、店頭で表示されたQRコードをユーザーがスマホで読み取る「店舗提示型」の2通りがある。利用者提示型の場合は、店側はQRコードを読み取るための端末を用意する必要があるが、店舗提示型の場合は、QRコードを印刷した紙をレジに置くだけでよいので、コストを掛けずにスマホ決済が導入できる。

     編集部が取材を進めたところ、QRコードを使ったスマホ決済に、安全面で重大な欠点があることが判明した。

     都内のある繁華街の飲食店での出来事だ。この店が店舗提示型のスマホ決済を導入した。飲食店では支払いを現金でやりとりすると、現金を扱うたびに店員は手を洗う必要がある。ここでスマホ決済、しかも客にQRコードを読み取ってもらうだけの店舗提示型であれば、店員の業務効率も格段に向上する。この店もスマホ決済の導入でその恩恵を見込んでいた。

     ところがある時、スマホ決済経由の売り上げが数日間全く計上されない事態が発生した。不審に思った店が確認したところ、レジに置いてあるQRコードの上から別のQRコードが貼ってあった。客は店に代金を支払ったつもりだったが、実際にはQRコードを偽造した何者かの口座に送金されてしまっていたのだ。犯人はスマホ決済経由で店の売り上げを奪っていたことになる。飲食店では、店員は接客で慌ただしく店内を動き回るものの、レジには会計時しか立たないことが多い。その隙(すき)を突かれた格好だ。

    容易な「ステッカー型」

     QRコードはもともとデンソーが開発したが、技術を公開したことで広く普及。一般的に利用するためのスマホアプリもあり、QRコードは簡単に作成できる。前述の飲食店の不正利用の偽QRコードもコード自体は容易に作成されたものだろう。

     犯罪者側が店舗提示型でQRコードを偽造する手法は「ステッカー型」ともいわれている。偽のQRコードを印刷したステッカーを正しいQRコードの上に貼っていく。中国では、レンタル自転車のQRコードに偽のQRコードが貼ってあったり、駐車違反の切符に付いている罰金支払い用のQRコードに偽のQRコードを貼ったりする手口も確認されている。こうした犯罪を防ぐためには、店舗側の管理体制を強化しておく必要がある。

     もう一方の利用者提示型のスマホ決済でも不正利用は起こりうる。他人のスマホに表示されたQRコードを撮影し、その画像をQRコードリーダーで読み取りコード番号が分かれば、同じQRコードを複製できる。

     中国山西省で発生した事例では、スマホ決済をしようとスマホの画面に自分のQRコードを表示した状態でレジに並んでいた人のQRコードが第三者に読み取られた。被害者の後ろにいた犯人がスマホのQRコードリーダーで被害者のQRコードをスキャン。被害者のQRコードを使用して会計を済ませたという。

     もちろんスマホ決済にもセキュリティーは施されており、スマホに表示されるQRコードは有効時間が設定されている。日本では「ペイペイ」や「LINEペイ」など各社は、5分を過ぎると新しいコードに更新される仕様となっている。ただし不正利用の手口に習熟した犯罪者なら5分あればQRコードを複製・偽造し、決済することは可能だ。

     スマホ決済をスムーズに済ませるために、あらかじめアプリを立ち上げてレジに並ぶ人は多いが、その際には他人にスマホ画面を見られてはいけない。

    問われる運用体制

     消費者や小売店がスマホ決済の使用に注意するだけでなく、スマホ決済事業者も運用体制を強化する必要がある。

     スマホ決済は、インターネットショッピングをスマホを用いて実店舗で展開したものといえる。ネットショッピングはメールアドレスなどのIDとパスワードを入力して決済しているが、スマホ決済はID・パスワードに相当するものがQRコードになる。

    (出所)日本クレジット協会「日本のクレジット統計」を基に編集部作成
    (出所)日本クレジット協会「日本のクレジット統計」を基に編集部作成

     ネットショッピングの決済にはクレジットカードが用いられている。そのクレジットカードの不正利用はかつては偽造カードによる被害が多かったが、ICカードの登場により偽造カードの被害は減少。代わって、その他の不正利用、特にカード番号盗用による被害が急増している。スマホ決済もネットショッピングと同じ仕組みであることを考えると、コード番号盗用を犯罪者集団から狙われているといってよい。既に「セブンペイ」が7月のサービス開始直後に中国からの不正アクセスを受け、サービス停止に追い込まれた。

     日本に限ってもクレジットカードは50年以上の歴史を有するのに対し、スマホ決済はわずか数年。クレジットカード決済も脅威にさらされてはいるが、スマホ決済のセキュリティー対策の方が劣っていることは否めない。セブンペイの問題だけでなく、昨年12月には「ペイペイ」でも不正利用が多発した。もちろんスマホ決済事業者もその後、対策を強化しているが、10月の消費増税を機に利用者が増えるとすると、セキュリティーには万全を期す必要がある。

     ATM(現金自動受払機)の維持管理など現金を運用するコストやリスクを考えると、キャッシュレス化自体は望ましい。そして身近なツールを使ったスマホ決済も便利な決済手段であり、メリットは多い。ただし、あくまでも正しく運用された場合の話だ。消費者も小売店も事業者もブームに乗って安易に飛びつくことは危険だ。便利さを享受するためにも、利用には細心の注意を払わなければいけない。

    (村田晋一郎・編集部)(加藤結花・編集部)

    インタビュー

    週刊エコノミスト最新号のご案内

    週刊エコノミスト最新号

    12月17日号

    勝つ負ける地銀ランキング18 弱まり続ける「稼ぐ力」 “利益率かさ上げ”のツケ ■大堀 達也/吉脇 丈志19 最新 地銀全103行収益力ランキング23「粉飾倒産」でヤケド負う ■編集部24 東証改革 時価総額500億円未満が1部市場に31行 ■編集部27 “無風”の減益 「益出しのネタ」尽きる “苦 [目次を見る]

    デジタル紙面ビューアーで読む

    おすすめ PR

    最新の注目記事

    ザ・マーケット