SCROLL
2019/08/09

スマホ決済の不正利用を防ぐには?

この記事のポイント
  • ❶ますます普及が進むスマホ決済
  • ❷一度も破られていないFeliCaのセキュリティ
  • ❸QR決済はコードの盗難に注意

消費増税に伴う還元事業や、新型コロナウイルス感染症への対策を背景に、さらに注目を浴びるスマートフォン決済。街中でも普及が進み、いまや当たり前の存在になりつつあります。しかし、だからこそ注意すべきなのがセキュリティ対策。スマホ決済の方式ごとに、注意すべきポイントを整理しました。

モバイルIC決済(FeliCa)とは?

ICチップを端末に埋め込むことで、携帯電話やスマートフォンから決済を行えるモバイルIC決済。フィーチャーフォンの時代から「おサイフケータイ」として親しまれてきた機能が、現在もそのまま使用されています。データの読み込みに使用されているのは「FeliCa」という非接触型ICカード用の通信技術で、読み取り用の機械に軽くかざすだけで情報をやりとりできるのが大きなメリットです。「Suica」をはじめとする交通系ICカードや、「楽天Edy」、「nanaco」といった電子マネーなど、ICカードを使った決済にはすべてFeliCaが用いられています。

不正利用の懸念は?

FeliCaのセキュリティはきわめて優秀です。使用開始から20年ほど経ちましたが、これまで通信のハッキングやカードの複製などの不正が起きたことは1度もありません。その理由は、「チャレンジ&レスポンス」という認証方式にあります。パスワードそのものをやりとりせずに、入力されたパスワードがサーバにあるものと一致するか(正しいパスワードか)という情報だけを通信相手に知らせることで、パスワードが盗まれる危険を減らしているのです。

スマートフォンにFeliCaを搭載する場合も、ICチップと読み込み端末とがやりとりするチャージ金額などの情報は、「セキュアエレメント」という独自の領域でのみ扱われます。スマートフォン本体からは、その情報にアクセスできないため、スマートフォンのロックが破られたとしてもFeliCaのユーザー情報を盗み出されることはありません。

出典:「FeliCaってなに?」──SONY

QRコード決済(アプリ決済)とは?

QRコード決済とは、「PayPay」や「楽天ペイ」、「LINE PAY」などに代表される、スマートフォンアプリを用いた決済サービスです。利用者側がQRコードを提示するのか、店舗側がQRコードを提示するのかによって、2つの方式に分かれています。

ユーザースキャン方式(店舗提示型 MPM:Merchant-Presented Mode):店舗側が提示したQRコードを、利用者がスマートフォンなどで読み込む方式です。利用者は自分で支払金額を入力して決済するため、店舗側はQRコードを画像で用意するだけですむのがメリット。特別な機器を導入する必要はありません。

画像:「イラストAC」より

ユーザースキャン方式の場合、QRコードによって可能なのは、店舗への支払いのみです。そのため、仮にQRコードが盗まれてしまったとしても、実害はありません。

一方で店舗側が気をつけなければならないのは、悪意のある利用者によるQRコードの改ざんです。スマートフォンの支払画面を目視することで決済を確認する場合、利用者が別の(たとえば自分の友人の運営する店舗の)QRコードへの支払画面を掲示しているかもしれません。店舗のQRコードが貼り替えられるトラブルも想定されます。防止のためには、決済が行われたことを店舗のアプリケーションなどで、しっかりと確認する体制が必要になるでしょう。

ストアスキャン方式(利用者提示型 CPM:Consumer-Presented Mode):利用者側がスマートフォン画面に表示させたQRコードを、店舗側が専用のコードリーダーで読み込む方式です。主にコンビニや小売店で採用されています。

画像:「イラストAC」より

この方式の場合、利用者は支払いのたびにアプリを立ち上げ、QRコードを発行する必要があります。QRコードは、一般的なPOSレジで対応できるよう、バーコードとQRコードの両方で表示可能なアプリが多いようです。

このコードを盗難・複製されると、決済に悪用される恐れがあります。決済金額には上限が設けられているものも多いですが、クレジットカードを登録できるQRコード決済アプリもあり、その場合高額な決済も可能です。被害防止のため、QRコードの有効期限は5分程度に設定されており、決済できるのは画面に表示されている間のみ。決済が完了すると、サービス提供会社はPOSレジを通じて支払いを認証し、QRコードを無効化することで再利用や悪用を防ぎます。

もちろん、QRコードの有効期限である5分間のうちに、誰かが画面のコードを撮影し、不正利用される心配はあります。あるいは、悪意のあるソフトウェアをスマートフォンにインストールさせ、離れた場所から支払いコードの画面をキャプチャする手もありえます。たとえ些細な買い物であったとしても、QRコード画面を他人に見せることのないよう、細心の注意を払わなければなりません。

また、ストアスキャン方式の場合、支払金額を設定するのは店舗側です。利用者は、表示されている金額が正しいかどうか、しっかりと確認することが大切です。

不正利用からアカウントを守る方法

ふたつの支払い方式に共通する弱点は、本人確認情報が端末やSIMカードなどの物理デバイスではなく、ネットワーク上のアカウントに紐づいていることです。ログイン情報を盗まれてしまえば、チャージされているお金だけでなく、登録しているクレジットカードや銀行口座の情報までが流出しかねません。複雑で強度の高いパスワードを設定し、二段階認証を有効にするなど、インターネットサービスを利用する際の一般的なセキュリティ対策は必須です。

ほかにも、支払い通知やチャージ通知をメールで受け取れるようにし、身に覚えのない不正利用にはすぐさま対処できるように準備することも大切です。

スマートフォンを紛失してしまったら?

不正利用に備えるだけでなく、スマートフォン自体の紛失や盗難、故障時のセキュリティにも注意しなければなりません。リモートロック機能を設定し、IC決済機能が使えないようにしておくことや、リモートワイプ機能によって、スマートフォンのデータを削除するなどの対策を講じておきましょう。

スマートフォンによる決済は、適切な準備さえしておけば、現金やICカードの利用よりも安全です。今後ますます普及することが予想されるため、いま一度セキュリティについての意識を高めておきましょう。

※記載の商品名、サービス名及び会社名は、各社の商標または登録商標です。
※本記事は2020年12月に再編集・修正しました。
ページtopへ戻る