キャッシュレス決済-利便性の裏に潜むリスクとセキュリティ
掲載:2019年05月17日
コラム
昨今、日本ではキャッシュレス決済が急速に普及しており、多種多様な決済方法が存在します。政府の『未来投資戦略2018』によると、日本はキャッシュレス決済による利用者の利便性・効率性の向上のために、直近では2020年のオリンピック・パラリンピック東京大会開催に向けて、キャッシュレス決済の拡大を目指しています。また、2027年6月までに、キャッシュレス決済比率(クレジットカードおよび電子マネーによる決済額の合計/民間最終消費支出)を4割程度にすることも掲げています。
目次
キャッシュレス決済とは
キャッシュレス決済は大きく3つに分類されます。
- カード(クレジット/デビット/プリペイド)
クレジットカード:購入代金をまとめて後払いすることができるカード。カード発行時には支払い能力の有無について所定の審査が実施され、一括払い、分割払いが可能
デビットカード:登録済みの銀行口座から即時引き落としを行うカード
プリペイドカード:事前に一定の金額をカードにチャージする形式。利用時にカードから代金分が引き落とされ、決済時に一括で支払いが完結
- 電子マネー(ICカード/スマホ)
ICカード:発行会社の専用マネーを購入して、発行会社の店舗などで使用でき、主に非接触IC決済を利用した支払いを指す。Suicaなどはその代表的な位置づけ
スマホ:物理的なカードを介さず、携帯電話にダウンロードした発行会社の専用サービスアプリにチャージして支払う方法。携帯電話を使っているため、通信を使って、残高の確認や支払い履歴のチェック、チャージをその場でできる利便性あり
- QRコード決済(スマホ)
消費者のスマートフォンの画面上に表示したQRコードを店舗の決済端末で読み取る、または店頭に表示されたQRコードを消費者のスマートフォンで読み取ることで決済する方法。QRコード決済サービスはここ数年で急増し、IT系、通信キャリア系、銀行系など各企業の特色を生かしたサービスを展開
これらの中でもQRコード決済が急速に拡大しており、2013年頃から「Alipay(支付宝)」や「WeChat Pay(微信支付)」が中国でローンチしました。2018年頃からは日本企業も続々とサービス提供を開始しています。
カード、電子マネー、QRコード決済の支払方法毎に決済会社を俯瞰して捉えた図が以下となります。
図 1 国内キャッシュレスカオスマップ
キャッシュレス決済に取り組む理由
日本が今、キャッシュレス決済に官民挙げて取り組む理由として、2点あります。
1点目は、日本における労働人口減少を踏まえた生産性の向上のためです。キャッシュレス決済を推進することで、実店舗等の無人経営や、いつどこで決済をするのかが明確なためマネーロンダリングなどの不正送金や資金移動の抑止による税収向上につながると考えられています。また、支払いデータを利活用することで、消費の予測や促進などにつなげることもできます。
2点目は、現金の維持管理にかかる莫大なコストを削減できるためです。現金を維持するために、年間約1.5兆円以上のコストが発生すると試算されています。私たちの手元に現金が届くには、まず印刷局や造幣局で現金を製造し、各銀行や法人、ATM、店舗等様々なルートを通ります。その過程で人件費、輸送費、運営費などが発生しますが、キャッシュレス化を進めることで、こうしたコストの削減が可能となります。
図 2 現金決済インフラに発生するコスト
グラフ 1 各国のキャッシュレス決済比率の状況(2015)
なぜ日本でキャッシュレス化が遅れているかについては、下記の背景が挙げられます。
- 現金の盗難が少なく、治安がよい
- 偽札が流通することが少ないため現金に高い信頼を置いている
- 店舗で正確かつ迅速なレジ支払いができる
- ATMが至るところにあるため現金がすぐに入手できる
これらの背景により、日本では無理にキャッシュレス化を進める必要がありませんでしたが、労働人口の減少、現金維持のコスト削減のために、今後ますますキャッシュレス化が拡大していくことでしょう。
急速に拡大するQRコード決済とは
キャッシュレス決済のなかでもとくに今爆発的な普及を見せているのがQRコード決済です。このQRとは、”Quick Response”に由来しています。素早い読み取りが可能なためこのように命名されており、文字通り他のキャッシュレス決済よりも手軽で使いやすいという利点があります。ユーザー側としては、アプリをダウンロードして決済をするため、他アプリサービスとの連動でポイントがたまりやすくなったり、割引を受けられたりというメリットがあります。店舗側では、カード決済よりも導入コスト、手数料が低いというメリットがあります。
QRコード決済には、大別すると2種類の決済方法があります。
QRコード決済 | |||
提示形式 | (1)店舗提示型 (店がQRコードを提示) |
(2)消費者提示型 |
|
表示方式 | 静的 (紙に印刷) |
動的 (店舗にある据え置きの ディスプレイに表示) |
動的 (スマホに表示) |
特徴 | 金額固定の小規模店舗向け | POSレジの改修不要 中小規模店舗向け |
大型チェーンの既存店舗向け |
例 | Origami Pay、Pay IDなど | Yahoo!ウォレット、LINE Pay、 楽天ペイなど |
MMD研究所の「19年2月 QRコード決済サービスの利用に関する調査」によると、ユーザーがQRコード決済を利用する理由として、「ポイントがたくさん貯まるから」「会計がスピーディに終わるから」などが上位に挙がり、QRコード決済の利便性を評価する声が多くあります。とはいえ、一方で利用しない理由として、上位に「個人情報や決済情報の漏洩が心配」という声も上がっています。
グラフ 2 QRコード決済を利用する理由
QRコード決済を悪用した攻撃
QRコード決済は、非常に便利な一方、セキュリティリスクも抱えています。海外ではQRコードの特性を悪用した詐欺事件が起きており、日本も対策が急務となっています。いずれもQRコード決済の仕組みを悪用した「フィッシング攻撃」に類するものでした。代表的な手口をご紹介します。
- 店舗提示型(静的表示)―物理的なQRコードのすり替え―
静的表示の場合、店員がディスプレイにQRコードを表示するなどの手間を掛けることなく決済可能ですが、その利便性に付け込んで、本物のQRコードの上に偽装QRコードを貼り付けるという手口が発生しています。実例でいうと、2015年から上海を中心に展開している自転車シェアサービス「摩拝単車(Mobike)」が、偽装QRコードを使ったフィッシング詐欺にあっています。摩拝単車(Mobike)は、自転車に貼られたQRコードをスキャンすると、ロックが解除され、手軽に自転車を借りることができるサービスです。犯人は本物のQRコードの上に偽装QRコードを貼り付け、ユーザーをフィッシングサイトに誘導し、そのまま支払いをタップすると犯人の口座に送金されてしまう仕組みで、フィッシング詐欺を行いました。公衆の場にあるQRコードは誰でも加工しやすく、悪用されるリスクが潜んでいます。
- 店舗型提示型(静的表示)―偽装QRコードの作成―
新規サイトのQRコードを作成する場合、QRコードを作成するシステム開発会社やQRコード作成サイトなどに悪意があったり、不正アクセスなどを受けてQRコード作成プログラムが改ざんされていたりすると、偽装QRコードを作成することができます。偽装QRコードが使用されると、初めは正常なサイトに誘導されますが、時間が経過するとフィッシングサイトなどに誘導されてしまいます。この手口については、QRコードの仕組みとともに詳細を後述します。
- 消費者提示型(動的表示)―店舗のQRコード読み取り端末の乗っ取り―
店舗提示型に比べれば、消費者提示型の方が安全だと思うかもしれませんが、店舗に置かれた端末にマルウェアを感染させ、犯人の口座に振り込ませるという手口もあります。消費者提示型だとしても、店舗の場合、QRコードを読み込むスマートフォンやタブレットにセキュリティ対策をしている店舗は多くないため、攻撃の的になってしまうのです。
こうした攻撃事例や手口を見て分かるとおり、QRコードの最大の弱点は、人間がQRコードを目視してもそれが何を示すのか全く分からないということです。「偽装QRコードに気をつけましょう」といっても、何が本物で偽物か、目視での判断は不可能といえます。
QRコードのセキュリティ上の弱点
そもそもQRコードがどんな構造で成り立っているのか見てみましょう。QRコードは白と黒のドットで構成されています。もし、中間色である灰色のドットがQRコード内に紛れ込んでしまうと、QRコードリーダーがそれを黒か白か認識するのは、その都度異なります。白と認識された場合本物のサイトにつながるはずが、黒と認識された場合は偽サイトに誘導できます。これは、QRコードの誤り訂正技術を悪用した手口で、例えば10回に9回は本物サイトへ、うち1回は偽サイトへ動作することも可能です。神戸大学の森井昌克教授は、これを「偽装QRコード」と称し、QRコードのセキュリティ上の脆弱性として訴えています。
では、偽装QRコードを実際に試してみましょう。下記のQRコードを読み込むと、ほとんどの場合森井教授の研究室のサイトに誘導されますが、1/5~1/10の確率で偽サイト(森井教授が用意した無害サイト)に誘導されます。(ただしQRコードリーダーのアプリによって、その確率は変動します)。この手法を使えば、ユーザーがいつも使っているサイトからいきなりフィッシングサイトに飛ばして詐欺を行うことも可能です。被害者が、確認のためにもう一度偽サイトにログインしようとしても、次は本物のサイトに誘導されてしまい、事件を再現することができず、手口が発見しづらいという特徴があります。
図 3 偽装QRコード
QRコード決済のセキュリティリスク対策
では、被害にあわないためにはどうすればいいでしょうか。QRコード決済の仕組みや使い方を正しく認識し、そのセキュリティリスクに気づき、対策を講じることが必要です。ユーザー側、店舗側、QRコード決済事業者側、それぞれの視点から講じるべき対策をご紹介いたします。
◆ユーザー側
- おかしなQRコードはダウンロードしない
本物のQRコードの上から偽装QRコードが貼られていないか確認をしましょう。
- ダウンロードしたURLを確認する
URLを見た時点で、自分が接続したいサイトなのかどうか確認をしましょう。ただ、URLが短縮されている場合、見破るのは難しいです。
- 支払い明細を定期的に確認する
万が一被害にあっていても、すぐに被害に気付くことができれば被害を最小限に食い止めることができます。
◆店舗側
- 従業員への教育を実施する
今後さらなる新しい決済方法が出てくるかもしれません、そのため、その都度決済方法や仕組み、最新の詐欺の手口を周知しておくことが必要です。
◆QRコード決済事業者側
- クレジットカード決済業者と同レベルの対応を行う
決済を行う企業として、本来であれば金融機関に求められるレベルのセキュリティ対応が望ましいです。クレジットカードを取り扱う小売業者には2014年に改正割賦法が適用され、PCI-DSSレベルの対応が義務付けられました。QRコード決済を取り扱う事業者にも、将来的に同レベルの対応が法規制によって求められても不思議ではありません。自社のシステムや運用がセキュリティ対策の観点で適切なレベルか、今一度確認しておきたいところです。
QRコード決済をはじめとするキャッシュレス決済には一長一短がありますが、キャッシュレス決済に潜むリスクについて認識し、対策を講じることで被害にあう可能性を最小限にすることが重要です。
【参考文献】
- CROWD CAST「国内キャッシュレス決済カオスマップ」(2019)
- 経済産業省「キャッシュレス・ビジョン」(2018)
- 森井昌克「気を付けろ!QRコードに脆弱性? その深刻さと騙されないための対策」(2018)
- 首相官邸HP「未来投資戦略2018 ─ 「Society 5.0」「データ駆動型社会」への変革 ─ 」(2018)
- MMD研究所「2019年2月 QRコード決済サービスの利用に関する調査」(2019)
- 週刊東洋経済(2019)「キャッシュレス 狂乱」