スマホ決済のセキュリティーは安全?不正利用の原因と対策を解説
2022/2/5
スマホ決済を安全に利用するためにはセキュリティ対策が欠かせません。不正利用によって損害を被る前に、セキュリティーを高める設定を行ないましょう。また、どんな原因で不正利用が起こるのか、学ぶことも重要です。スマホ決済のセキュリティーを解説します。
Contents
- スマホ決済に備わっているセキュリティーとは
- QRコード決済のセキュリティー
- NFC決済のセキュリティー
- スマホ決済の不正利用は何が原因?
- スマホ決済サービスの認証情報の漏洩
- クレジットカード情報の漏洩
- スマートフォンの紛失
- 偽造QRコードの読み取り
- 不正利用の被害に対する各社の補償を比較
- PayPay
- d払い
- 楽天ペイ
- LINE Pay
- スマホ決済を安全に利用するための対策6つ
- 公式アプリストアからスマホ決済アプリをインストールする
- IDとパスワードを使い回さない
- 正規のサイトからログインする
- 利用履歴をこまめにチェックする
- スマホ決済アプリのアップデートをおこなう
- スマートフォン本体のセキュリティーを見直す
- スマホ決済アプリを使わなくなったら解約・アンインストールする
- 店舗側でおこなうスマホ決済のセキュリティー対策
- セキュリティー機能の高い決済端末を選ぶ
- スタッフから見える位置にQRコードを設置する
- 顧客の操作をチェックする
- スマホ決済のセキュリティー対策は万全に!
スマホ決済を利用したことがない人が敬遠する理由としてあげるのが、セキュリティーへの不安です。現金決済でも財布をなくしたり、盗まれたりと、さまざまなリスクが潜んでいますが、スマホ決済の場合、セキュリティーの仕組みがわかりにくいため、より不安が大きくなりがちです。2019年7月にセブンイレブンの7payで起こった不正利用事件も影響しているかもしれません。7payの不正利用ではシステムに存在した複数の脆弱性が原因だったと言われていますが、この事件を教訓に各社はセキュリティーを強化しています。そこでスマホ決済で不正利用が起こる原因や対策について解説していきます。
スマホ決済に備わっているセキュリティーとは
スマホには第三者による操作を防止するために、暗証番号や生体認証などセキュリティ機能が備わっていますが、スマホ決済アプリ自体にも不正な利用を防止するためのセキュリティ機能があります。具体的なセキュリティ法を解説する前に、スマホ決済の2つの方式について説明します。スマホ決済にはQRコード決済とNFC決済(非接触型決済と呼ばれることも)があり、前者はQRコード(もしくは2次元バーコード)をスマホ画面に表示して、レジの端末で読み取ってもらうか、スマホのカメラで店頭に設置されているQRコードを読む取ることで決済をします。後者はレジの端末にスマホをかざすだけで決済が完了します。QRコード決済とNFC決済ともに、事前にアプリに残高をチャージしたり、持っているクレジットカードや銀行口座から支払うなど、代金の支払い方法にはいくつかあり、利用者が選択します。
QRコード決済のセキュリティー
QRコード決済では、アプリとクレジットカードと紐づけて、後払いを選択することができます。クレジットカードではスキミングによってカードのデータが盗まれることで不正利用が発生することがありますが、QRコード決済ではクレジットカードのデータが画面に表示されることはありません。支払いに必要な個人情報はQRコードや2次元バーコードに変換されるため、スマホ画面を盗み見しただけでは、不正利用ができません。また、スマホの画面に表示されるQRコードや2次元バーコードは毎回新たに生成され、しかも表示されたものは数分間で利用期限が切れ、読み取りできなくなる仕組みになっています。
さらに、レジの端末から送信されたクレジットカードの情報は店舗に保存されることなく、破棄されています。そのため、店舗からクレジットカード情報が漏洩し、不正利用されるといった恐れもありません。事前に残高をチャージして利用する前払いを選択している人も、QRコードや2次元バーコードのセキュリティーによって、不正利用のリスクは低いと言えます。
さらに、レジの端末から送信されたクレジットカードの情報は店舗に保存されることなく、破棄されています。そのため、店舗からクレジットカード情報が漏洩し、不正利用されるといった恐れもありません。事前に残高をチャージして利用する前払いを選択している人も、QRコードや2次元バーコードのセキュリティーによって、不正利用のリスクは低いと言えます。
NFC決済のセキュリティー
NFC決済とは、スマホやカードを端末にかざすことで、決済を行う仕組みのことです。暗証番号を入力するなど、端末を操作する必要がないため、非接触型決済と呼ばれることもあります。クレジットカードの場合には、非接触ICチップが埋め込まれており、NFCと呼ばれる近距離通信を使って、決済情報や個人情報の送受信を行います。こうしたNFC決済で利用する読み込み端末にはカード情報を暗号化して送受信する技術が採用されているため、店舗のシステムに残こされたカード情報が漏洩してしまうリスクはないでしょう。また支払いに関する情報が画面に表示され、誰かに盗み見されることもありません。
スマホ決済の不正利用は何が原因?
とはいえ、スマホ決済で不正利用のリスクがゼロかと言えば、そうではありません。一部のユーザーから不正利用されたという報告が届いています。いったい、何が原因で不正利用されてしまったのでしょうか? スマホ決済のセキュリティーリスクに備えるには、過去のトラブル事例や不正利用の手口を知っておくことが重要になります。
スマホ決済サービスの認証情報の漏洩
スマホ決済アプリを利用する際には、さまざまな個人情報を登録します。アプリに登録された認証情報(IDとパスワード)が漏洩すると、不正利用につながりますが、サイバー犯罪者たちはフィッシング詐欺という手法でこのデータを盗もうとします。たとえば、通信事業者のフリをして、「不正利用された可能性がある」といったSMSやメールを送りつけます。多くの場合、メッセージ内にURLリンクが貼られており、これを誤ってクリックしてしまうと、認証情報を抜き取るフィッシングサイトに誘導されてします。そして、気づかずに要求に応じて、IDやパスワード、そしてクレジットカード情報を入力することで、大切なスマホ決済サービスの認証情報が漏洩してしまうことがあります。
クレジットカード情報の漏洩
クレジットカードで決済を行うには、カード番号と有効期限(ECサイトでは裏面に記載のあるセキュティコードの入力を求められることがあります)の情報が必須となりますが、サイバー犯罪者はウェブブラウザに保存されたカード情報を盗んだり、フィッシングサイトに誘導して騙し取ろうとします。スマホ決済アプリにもカード情報を登録して決済に利用できるため、盗んだ情報で勝手に商品を購入されてしまうケースがあります。スマホ決済に限らず、クレジットカードを持っていると遭遇するリスクのひとつですが、スマホ決済アプリを利用する際にも、クレジットカード情報が漏洩しないよう注意することが必要となります。
スマートフォンの紛失
スマートフォンはカバンなどよりも小型のため、うっかり紛失したり、盗難に遭うこともあります。とくに最新の機種は高額で取引されているため、犯罪者のターゲットになりやすいと言えます。治安が良いされる日本ではスマホを落としても、親切な人に拾われ、戻ってきたというケースもありますが、悪意のある第三者に渡ると勝手にスマホを操作されて、情報を抜き出されたり、決済アプリを使って商品を購入させられるといった不正利用されてしまう可能性もあります。
偽造QRコードの読み取り
QRコード決済タイプのスマホ決済では、自身のスマホ画面にQRコード(もしくは2次元バーコード)を表示して、レジの端末で読み取ってもらうか、スマホのカメラで店頭に設置されているQRコードを読み取るという方法があります。後者の場合ですが、もし、犯罪者によってQRコードが偽造されていたとしても、人の目では識別できず、それが偽物だと判断することは難しいでしょう。もし偽造QRコードを読み取ってしまうと、不正なプログラムをダウンロードさせられ、スマホを乗っ取られてしまう可能性もあります。これはコンピュータウイルスのようなもので、勝手に個人情報や登録しているクレジットカード情報を抜き取られる危険があります。
偽造QRコードは店舗の人が気付かないうちに、第三者によって本物のQRコードが掲示されているところに、偽造QRコードのシールが貼り付けられていたり、本物のQRコードを書き換えることで、読み取ったユーザーが支払った代金が第三者に支払われるよう細工がされていたというケースも報告されています。
偽造QRコードは店舗の人が気付かないうちに、第三者によって本物のQRコードが掲示されているところに、偽造QRコードのシールが貼り付けられていたり、本物のQRコードを書き換えることで、読み取ったユーザーが支払った代金が第三者に支払われるよう細工がされていたというケースも報告されています。
不正利用の被害に対する各社の補償を比較
不正利用の手口は巧妙で一般の消費者が注意していても、騙されてしまうこともあります。そのため、クレジットカード会社が不正利用に対して補償を行っているように、スマホ決済事業者にも補償制度を整える動きが広がっています。主要なスマホ決済サービスの補償制度について解説します。
PayPay
PayPayには、第三者による心当たりのない請求が発生した場合やPayPayアカウントを持っていないにもかかわらず、PayPayから請求が発生した場合に申請できる補償制度があります。損害が発生した日から60日以内にウェブサイトにある申請フォームから申し込むと、被害の全額が補償されるというものです。なお、クレジットカード情報の漏洩による不正利用の場合には、カード会社を通じて補償される場合があるので、まずはクレジットカード会社への連絡が必要となるほか、警察への被害届の提出、家族や同居人による利用ではないこと、といった条件もあります。またPayPayではユーザーの決済を24時間365日監視する体制を作り、必要に応じて決済を保留したり、利用の制限をするといった対策も行っています。
d払い
d払いでは2019年8月28日から不正利用の被害を補償する制度を導入しています。不正利用が判明したら、直ちにNTTドコモと警察に申告を行い、30日以内に損害補填に必要な書類を提出すると、全額が補償されるという仕組みです。My docomoもしくはドコモ インフォメーションセンター(フリーダイヤル)でd払いの利用停止手続きが可能となっています。
楽天ペイ
楽天ペイでは、不正利用の被害を補償(利用者に重過失があった場合を除く)する制度を導入しています。損害が発生した日から60日以内に楽天と警察に申告するというのが、条件になっており、楽天ペイ カスタマーデスクへの電話連絡か、楽天ペイアプリの利用停止申請フォームを使って申請します。
LINE Pay
LINE Payでも、第三者による不正利用で発生した損害の補償制度を導入しています。送金や支払い、出金といったLINE Payサービスのすべてが補償の対象となっており、損害の発生から30日以内に申請をします。まずはLINE Payアプリ上で利用停止の手続きを行なったあと、LINE Pay運営事務局に届け出ます。LINE Cashアカウントの1件の不正利用あたりの補償限度額は原則10万円で、LINE Moneyアカウントの場合には、損害額が10万円を超えると、補償限度額の引き上げについて個別に判断されます。また、送金を依頼した回数や金額、アカウントを作成する際の操作状況によって不正を検知するモニタリングシステムも導入されています。
スマホ決済を安全に利用するための対策6つ
各社が第三者による不正利用で発生した損害の補償を行っているとはいえ、手続きに時間がかかったり、10万円という上限額を設けている事業者もあります。そのため、安全に利用するため、セキュリティーに対する備えを行なっておくことも大切です。
公式アプリストアからスマホ決済アプリをインストールする
スマホ決済を利用するためには、専用のアプリをダウンロードする必要があります。このとき必ず公式のアプリストアからダウンロードし、インストールするようにしましょう。メールやSMS、SNS内のURLリンク、ネット広告などからたどり着いたアプリの配布サイトには、不正なプログラムを強制的にインストールさせるURLが埋め込まれているケースもあります。スマホ決済アプリに限らず、インストールの際には公式アプリストアを利用することが大切です。
IDとパスワードを使い回さない
スマホ決済に限らないことですが、アプリを起動する際に必要となるIDとパスワードは使い回しをしないことが大切です。使い回しとは、ウェブサービスのログインや、他のアプリの起動で求められるIDとパスワードを忘れてしまわないように、常に同じものを使ってしまうことを指します。もし、使いまわしていると、一度、IDとパスワードが漏洩してしまうと、使用していたあらゆるウェブサービス、アプリで不正利用がされ、被害が拡大してしまいます。
ただ、すべてのサービスで異なるIDとパスワードを設定するのは現実的ではありません。どのサービスで、どのID・パスワードを使用していたか、把握するのが困難になりますし、定期的に不正ログインの防止のため、事業者から変更を求められるケースもあります。すると、管理すべきIDとパスワードが膨大になってしまいます。最近はIDとパスワードを管理してくれるソフトウェアやサービスもあるため、それらを活用しても良いでしょう。
ただ、すべてのサービスで異なるIDとパスワードを設定するのは現実的ではありません。どのサービスで、どのID・パスワードを使用していたか、把握するのが困難になりますし、定期的に不正ログインの防止のため、事業者から変更を求められるケースもあります。すると、管理すべきIDとパスワードが膨大になってしまいます。最近はIDとパスワードを管理してくれるソフトウェアやサービスもあるため、それらを活用しても良いでしょう。
正規のサイトからログインする
犯罪者たちはサービスのログインに必要なIDやパスワードを盗み取ろうと、罠を仕掛けます。それがフィッシングサイトと呼ばれる情報を抜き取るプログラミングが仕込まれた偽サイトですが、これらはスパムメールやSMS、あるいは広告から誘導されるケースがほとんどです。こうしたサイトにアクセスしないように、正規のサイトかどうかURLを確認しすることが必要です。常に正規のサイトからログインするように注意しましょう。
利用履歴をこまめにチェックする
スマホ決済アプリでは、簡単にいつどれくらいの金額を使ったのか、利用履歴を見ることができます。クレジットカードでも毎月の利用明細が送られてきたり、ウェブサイトで利用履歴がチェックできるのと、同様です。こまめに利用履歴をチェックしておくと、不正利用があったときに早期対応しやすくなります。多くの事業者では不正利用の補償を行なっていますが、30日以内、もしくは60日以内などと期限が設けられているため、うっかり見落としてしまうと、発見しても手遅れになってしまう可能性があります。したがって、こまめにチェックすることが大切です。
スマホ決済アプリのアップデートをおこなう
スマホ決済アプリに限らず、インターネットにつながるディバイスでは、セキュリティーの向上を目的に頻繁にソフトウェアのアップデートが行われます。新しいコンピュータウイルスが登場したり、脆弱性が発見されるたびに運営会社が対策を取るためです。したがって、ユーザーも常にアプリのアップデートし、最新のバージョンを利用することが大切です。
スマートフォン本体のセキュリティーを見直す
スマホ決済アプリのセキュリティーはもちろんですが、スマホ自体のセキュリティーを見直すことも重要です。一定時間、操作しなければ、起動するのに暗証番号を入力する設定にしたり、より強固な指紋認証や顔認証といった生体認証でロックをかけることで第三者が操作しにくくわけです。さらに、盗難にあったときのために、遠隔操作でデータを消去したり、GPSでスマホの位置情報を特定できるサービスもあります。このように何重にもセキュリティーをかけることで、安全に利用することができるようになります。
スマホ決済アプリを使わなくなったら解約・アンインストールする
使わなくなったスマホ決済アプリをそのまま放置する行為もおすすめできません。不正な利用があったとしても発見が遅れてしまいますし、登録した情報が漏洩しないとも限りません。アプリをアンインストールするだけではなく、登録した個人情報が抹消されるよう、解約の手続きを申請することをおすすめします。
店舗側でおこなうスマホ決済のセキュリティー対策
セキュリティーの強化のために行う対策には、店舗側が積極的に行うべきものもあります。
セキュリティー機能の高い決済端末を選ぶ
決済に使用する端末は、スマホ決済やQRコード決済の事業者によって異なります。従って、セキュリティポリシーや暗号技術にも違いがあります。店舗側はユーザーに不安感を与えないよう、決済端末を選ぶ際には、信頼が置ける決済業者が提供しているセキュリティー技術の水準が高い端末を選ぶと良いでしょう。
スタッフから見える位置にQRコードを設置する
もしも店舗に置かれる決済用のQRコードをすり替えられてしまったら、不正な利用が起こる可能性があります。POPに印刷して、常に店頭に掲示するのではなく、店員の目の届く場所に置くのがおすすめです。あるいは、QRコードをディスプレイや端末に表示させて、それを読み取ってもらう形にすると、不正利用のリスクが低減されます。
顧客の操作をチェックする
多くのお客様がスマホ決済を利用していると、次第に操作に慣れ、確認を怠ってしまうケースもあります。購入代金と異なる金額を入力していないか、不正に利用することを防ぐため、店舗側は正しい利用額が入力されているか毎回、確認する必要があります。
スマホ決済のセキュリティー対策は万全に!
スマホ決済は支払いに利用するアプリだけに、不正利用対策など、セキュリティーに万全を期すことが重要です。いまいち操作がわからないという人もいるかもしれませんが、基本的な情報を抑えるだけでセキュリティは飛躍的に高まります。便利に利用するためにも、しっかりと対策をしておきましょう。
