Today's PICK UP

スマホ決済のセキュリティは安全?不正利用の原因と対策を解説

スマホ決済を安全に利用するためにはセキュリティ対策が欠かせません。不正利用によって損害を被る前に、セキュリティを高める設定を行ないましょう。また、どんな原因で不正利用が起こるのか、学ぶことも重要です。スマホ決済のセキュリティを解説します。
スマホ決済を利用したことがない人が敬遠する理由としてあげるのが、セキュリティへの不安です。現金決済でも財布をなくしたり、盗まれたりと、さまざまなリスクが潜んでいますが、スマホ決済の場合、セキュリティの仕組みがわかりにくいため、より不安が大きくなりがちです。2019年7月にセブンイレブンの7payで起こった不正利用事件も影響しているかもしれません。7payの不正利用ではシステムに存在した複数の脆弱性が原因だったと言われていますが、この事件を教訓に各社はセキュリティを強化しています。そこでスマホ決済で不正利用が起こる原因や対策について解説していきます。

スマホ決済に備わっているセキュリティとは

スマホには第三者による操作を防止するために、暗証番号や生体認証などセキュリティ機能が備わっていますが、スマホ決済アプリ自体にも不正な利用を防止するためのセキュリティ機能があります。具体的なセキュリティ法を解説する前に、スマホ決済の2つの方式について説明します。スマホ決済にはQRコード決済とNFC決済(非接触型決済と呼ばれることも)があり、前者はQRコード(もしくは2次元バーコード)をスマホ画面に表示して、レジの端末で読み取ってもらうか、スマホのカメラで店頭に設置されているQRコードを読む取ることで決済をします。後者はレジの端末にスマホをかざすだけで決済が完了します。QRコード決済とNFC決済ともに、事前にアプリに残高をチャージしたり、持っているクレジットカードや銀行口座から支払うなど、代金の支払い方法にはいくつかあり、利用者が選択します。

QRコード決済のセキュリティ

QRコード決済では、アプリとクレジットカードと紐づけて、後払いを選択することができます。クレジットカードではスキミングによってカードのデータが盗まれることで不正利用が発生することがありますが、QRコード決済ではクレジットカードのデータが画面に表示されることはありません。支払いに必要な個人情報はQRコードや2次元バーコードに変換されるため、スマホ画面を盗み見しただけでは、不正利用ができません。また、スマホの画面に表示されるQRコードや2次元バーコードは毎回新たに生成され、しかも表示されたものは数分間で利用期限が切れ、読み取りできなくなる仕組みになっています。

さらに、レジの端末から送信されたクレジットカードの情報は店舗に保存されることなく、破棄されています。そのため、店舗からクレジットカード情報が漏洩し、不正利用されるといった恐れもありません。事前に残高をチャージして利用する前払いを選択している人も、QRコードや2次元バーコードのセキュリティによって、不正利用のリスクは低いと言えます。

NFC決済のセキュリティ

NFC決済では支払い情報が画面に表示されることもありません。スマホを支払い端末にかざすと、スマホに内蔵されているNFCチップとレジ端末の間で通信が行われますが、クレジットカード情報や個人情報は暗号化されるため、盗むことができません。

スマホ決済の不正利用は何が原因?

とはいえ、スマホ決済で不正利用のリスクがゼロかと言えば、そうではありません。一部のユーザーから不正利用されたという報告が届いています。いったい、何が原因で不正利用されてしまったのでしょうか?

スマホ決済サービスの認証情報の漏洩

スマホ決済アプリを利用する際には、さまざまな個人情報を登録します。アプリに登録された認証情報(IDとパスワード)が漏洩すると、不正利用につながりますが、サイバー犯罪者たちはフィッシング詐欺という手法でこのデータを盗もうとします。たとえば、通信事業者のフリをして、「不正利用された可能性がある」といったSMSやメールを送りつけます。多くの場合、メッセージ内にURLリンクが貼られており、これを誤ってクリックしてしまうと、認証情報を抜き取るフィッシングサイトに誘導されてします。そして、気づかずに要求に応じて、IDやパスワード、そしてクレジットカード情報を入力することで、大切なスマホ決済サービスの認証情報が漏洩してしまうことがあります。

クレジットカード情報の漏洩

クレジットカードで決済を行うには、カード番号と有効期限(ECサイトでは裏面に記載のあるセキュティコードの入力を求められることがあります)の情報が必須となりますが、サイバー犯罪者はウェブブラウザに保存されたカード情報を盗んだり、フィッシングサイトに誘導して騙し取ろうとします。スマホ決済アプリにもカード情報を登録して決済に利用できるため、盗んだ情報で勝手に商品を購入されてしまうケースがあります。スマホ決済に限らず、クレジットカードを持っていると遭遇するリスクのひとつですが、スマホ決済アプリを利用する際にも、クレジットカード情報が漏洩しないよう注意することが必要となります。

スマートフォンの紛失

スマートフォンはカバンなどよりも小型のため、うっかり紛失したり、盗難に遭うこともあります。とくに最新の機種は高額で取引されているため、犯罪者のターゲットになりやすいと言えます。治安が良いされる日本ではスマホを落としても、親切な人に拾われ、戻ってきたというケースもありますが、悪意のある第三者に渡ると勝手にスマホを操作されて、情報を抜き出されたり、決済アプリを使って商品を購入させられるといった不正利用されてしまう可能性もあります。

偽造QRコードの読み取り

QRコード決済タイプのスマホ決済では、自身のスマホ画面にQRコード(もしくは2次元バーコード)を表示して、レジの端末で読み取ってもらうか、スマホのカメラで店頭に設置されているQRコードを読み取るという方法があります。後者の場合ですが、もし、犯罪者によってQRコードが偽造されていたとしても、人の目では識別できず、それが偽物だと判断することは難しいでしょう。もし偽造QRコードを読み取ってしまうと、不正なプログラムをダウンロードさせられ、スマホを乗っ取られてしまう可能性もあります。これはコンピュータウイルスのようなもので、勝手に個人情報や登録しているクレジットカード情報を抜き取られる危険があります。

偽造QRコードは店舗の人が気付かないうちに、第三者によって本物のQRコードが掲示されているところに、偽造QRコードのシールが貼り付けられていたり、本物のQRコードを書き換えることで、読み取ったユーザーが支払った代金が第三者に支払われるよう細工がされていたというケースも報告されています。

不正利用の被害に対する各社の補償を比較

不正利用の手口は巧妙で一般の消費者が注意していても、騙されてしまうこともあります。そのため、クレジットカード会社が不正利用に対して補償を行っているように、スマホ決済事業者にも補償制度を整える動きが広がっています。主要なスマホ決済サービスの補償制度について解説します。

PayPay

PayPayには、第三者による心当たりのない請求が発生した場合やPayPayアカウントを持っていないにもかかわらず、PayPayから請求が発生した場合に申請できる補償制度があります。損害が発生した日から60日以内にウェブサイトにある申請フォームから申し込むと、被害の全額が補償されるというものです。なお、クレジットカード情報の漏洩による不正利用の場合には、カード会社を通じて補償される場合があるので、まずはクレジットカード会社への連絡が必要となるほか、警察への被害届の提出、家族や同居人による利用ではないこと、といった条件もあります。またPayPayではユーザーの決済を24時間365日監視する体制を作り、必要に応じて決済を保留したり、利用の制限をするといった対策も行っています。

d払い

d払いでは2019年8月28日から不正利用の被害を補償する制度を導入しています。不正利用が判明したら、直ちにNTTドコモと警察に申告を行い、30日以内に損害補填に必要な書類を提出すると、全額が補償されるという仕組みです。My docomoもしくはドコモ インフォメーションセンター(フリーダイヤル)でd払いの利用停止手続きが可能となっています。

楽天ペイ

楽天ペイでは、不正利用の被害を補償(利用者に重過失があった場合を除く)する制度を導入しています。損害が発生した日から60日以内に楽天と警察に申告するというのが、条件になっており、楽天ペイ カスタマーデスクへの電話連絡か、楽天ペイアプリの利用停止申請フォームを使って申請します。

LINE Pay

LINE Payでも、第三者による不正利用で発生した損害の補償制度を導入しています。送金や支払い、出金といったLINE Payサービスのすべてが補償の対象となっており、損害の発生から30日以内に申請をします。まずはLINE Payアプリ上で利用停止の手続きを行なったあと、LINE Pay運営事務局に届け出ます。LINE Cashアカウントの1件の不正利用あたりの補償限度額は原則10万円で、LINE Moneyアカウントの場合には、損害額が10万円を超えると、補償限度額の引き上げについて個別に判断されます。また、送金を依頼した回数や金額、アカウントを作成する際の操作状況によって不正を検知するモニタリングシステムも導入されています。

スマホ決済を安全に利用するための対策5つ

各社が第三者による不正利用で発生した損害の補償を行っているとはいえ、手続きに時間がかかったり、10万円という上限額を設けている事業者もあります。そのため、安全に利用するため、セキュリティに対する備えを行なっておくことも大切です。

1.IDとパスワードを使い回さない

スマホ決済に限らないことですが、アプリを起動する際に必要となるIDとパスワードは使い回しをしないことが大切です。使い回しとは、ウェブサービスのログインや、他のアプリの起動で求められるIDとパスワードを忘れてしまわないように、常に同じものを使ってしまうことを指します。もし、使いまわしていると、一度、IDとパスワードが漏洩してしまうと、使用していたあらゆるウェブサービス、アプリで不正利用がされ、被害が拡大してしまいます。

ただ、すべてのサービスで異なるIDとパスワードを設定するのは現実的ではありません。どのサービスで、どのID・パスワードを使用していたか、把握するのが困難になりますし、定期的に不正ログインの防止のため、事業者から変更を求められるケースもあります。すると、管理すべきIDとパスワードが膨大になってしまいます。最近はIDとパスワードを管理してくれるソフトウェアやサービスもあるため、それらを活用しても良いでしょう。

2.正規のサイトからログインする

犯罪者たちはサービスのログインに必要なIDやパスワードを盗み取ろうと、罠を仕掛けます。それがフィッシングサイトと呼ばれる情報を抜き取るプログラミングが仕込まれた偽サイトですが、これらはスパムメールやSMS、あるいは広告から誘導されるケースがほとんどです。こうしたサイトにアクセスしないように、正規のサイトかどうかURLを確認しすることが必要です。常に正規のサイトからログインするように注意しましょう。

3.利用履歴をこまめにチェックする

スマホ決済アプリでは、簡単にいつどれくらいの金額を使ったのか、利用履歴を見ることができます。クレジットカードでも毎月の利用明細が送られてきたり、ウェブサイトで利用履歴がチェックできるのと、同様です。定期的に利用履歴を確認する癖をつけると、万が一、不正に利用されたとしても、すぐに気が付くことができます。多くの事業者では不正利用の補償を行なっていますが、30日以内、もしくは60日以内などと期限が設けられているため、うっかり見落としてしまうと、発見しても手遅れになってしまう可能性があります。したがって、こまめにチェックすることが大切です。

4.スマホ決済アプリのアップデートをおこなう

スマホ決済アプリに限らず、インターネットにつながるディバイスでは、セキュリティの向上を目的に頻繁にソフトウェアのアップデートが行われます。新しいコンピュータウイルスが登場したり、脆弱性が発見されるたびに運営会社が対策を取るためです。したがって、ユーザーも常にアプリのアップデートし、最新のバージョンを利用することが大切です。

5.スマートフォン本体のセキュリティーを見直す

スマホ決済アプリのセキュリティはもちろんですが、スマホ自体のセキュリティを見直すことも重要です。一定時間、操作しなければ、起動するのに暗証番号を入力する設定にしたり、より強固な指紋認証や顔認証といった生体認証でロックをかけることで第三者が操作しにくくわけです。さらに、盗難にあったときのために、遠隔操作でデータを消去したり、GPSでスマホの位置情報を特定できるサービスもあります。このように何重にもセキュリティをかけることで、安全に利用することができるようになります。

スマホ決済のセキュリティー対策は万全に!

スマホ決済は支払いに利用するアプリだけに、不正利用対策など、セキュリティに万全を期すことが重要です。いまいち操作がわからないという人もいるかもしれませんが、基本的な情報を抑えるだけでセキュリティは飛躍的に高まります。便利に利用するためにも、しっかりと対策をしておきましょう。

人気記事

大手ゲーム会社も注目!今後のNFT市場をゲームが牽引する理由。

大手ゲーム会社も注目!今後のNFT市場をゲームが牽引する理由。

今年に入り、突如として注目度の高まった「NFT(非代替性トークン)」というキーワード。アート業界のバズワードとして認識している人も多いかもしれません。ところが実は、NFTはゲーム業界の未来、IP(知財)コンテンツの未来を考える上でも欠かせないキーワードであることをご存知でしょうか。そこで今回お話を伺ったのが、世界No.1を記録したNFTを活用しているブロックチェーンゲーム『My Crypto Heroes』(現在の運営はMCH社)を開発したdouble jump.tokyo株式会社の代表取締役 上野 広伸氏です。この新たなテクノロジーは、ゲームの世界にどのような変化をもたらすのでしょうか。そのポテンシャルに迫ります。

「8割以上の精度で、赤ちゃんが泣く理由が判明」CES2021イノベーションアワード受賞。注目の日本発ベビーテック企業とは

「8割以上の精度で、赤ちゃんが泣く理由が判明」CES2021イノベーションアワード受賞。注目の日本発ベビーテック企業とは

テクノロジーの力で子育てを変えていく。そんなミッションを掲げ、泣き声診断アプリや赤ちゃん向けスマートベッドライトなど、画期的なプロダクトを世に送り出してきたファーストアセント社。「CES2021 Innovation Awards」を受賞するなど、世界的に注目を集めるベビーテック企業である同社の強さの秘密とは。服部 伴之代表にお話を伺いました。

世界のMaaS先進事例7選。鉄道・バス・タクシーなど交通手段を統合したサブスクモデルも!

世界のMaaS先進事例7選。鉄道・バス・タクシーなど交通手段を統合したサブスクモデルも!

国内でMaaS(Mobility as a Service)実証が活発化している。新たな交通社会を見据え、既存の交通サービスの在り方を見直す変革の時期を迎えているのだ。 交通社会は今後どのように変わっていくのか。MaaSの基礎知識について解説した上で、海外のMaaSに関する事例を参照し、その変化の方向性を探っていこう。

立教大学ビジネススクール 田中道昭教授の熱血講義『世界最先端のデジタルシフト戦略』Vol.1 最速10分で商品が手元に。「ダークコンビニ」に学ぶ、未来のコンビニ像

立教大学ビジネススクール 田中道昭教授の熱血講義『世界最先端のデジタルシフト戦略』Vol.1 最速10分で商品が手元に。「ダークコンビニ」に学ぶ、未来のコンビニ像

コロナ禍で大きな打撃を受けている日本のコンビニ業界。その一方で、アメリカで生まれた「ダークコンビニ」は、コロナ禍において三密回避ができる新しいビジネス業態として注目されています。店舗を持たずに取扱商品を厳選して、オーダーが入れば30分以内という超短時間で商品を届けるサービスが支持を集め、いまでは各国で同業態が生まれているほど。そのターゲットは一般消費者のみならず、B2B業界にも拡大中です。三密回避が求められる時代において、コンビニはどのように変化していくべきなのでしょうか。アメリカの事例も踏まえながら、AIやDXを活用した未来のコンビニの姿について、GAFA等メガテック企業の戦略にも詳しい、立教大学ビジネススクール田中道昭教授に徹底解説いただきました。

出光興産CDOに聞く、レガシー企業DX成功の秘訣

出光興産CDOに聞く、レガシー企業DX成功の秘訣

ブリヂストンを経て出光興産へ。日本を代表する大企業二社のCDO(Chief Digital Officer)を歴任し、DXを推し進めてきた三枝 幸夫氏。これまで培ってきたレガシーを活かしながら、時代の最先端をゆくビジネスを創造するための秘訣は、どこにあるのだろうか。デジタルホールディングス代表取締役会長である鉢嶺 登氏が、これまでの三枝氏の仕事を振り返りながら、社内全体を巻き込んでDXを進めていくために押さえておくべきポイントについてお話を伺いました。

ナイキ、ディズニー、グッチも注目。大人気のゲーム版YouTube「Roblox」とは?

ナイキ、ディズニー、グッチも注目。大人気のゲーム版YouTube「Roblox」とは?

2021年3月10日に時価総額、約4兆円でニューヨーク証券取引所に上場したゲームプラットフォーム「Roblox(ロブロックス)」を知っているだろうか。月間ユーザーは1.6億人を超え、世界で大流行中のゲームプラットフォームだ。特に子どもたちに絶大な人気を誇り、アメリカでは16歳未満の子どもの約半数がプレイしていると言われている。 Robloxとは、なぜそれほどまでの人気を誇り、なにが魅力なのか。 Robloxの人気の秘密と、企業が今Robloxに注目すべき理由について、EntertainmentxFinancialをコンセプトに、投資を通じたエンタテインメント事業開発を支援する、EnFi株式会社の代表取締役 垣屋美智子氏にご説明いただいた。

累積導入2万件以上!デジタルマーケ初心者企業から圧倒的支持を得るSaaS徹底解剖

累積導入2万件以上!デジタルマーケ初心者企業から圧倒的支持を得るSaaS徹底解剖

コロナ禍の影響を受けて、これまで以上にデジタルマーケティングの重要性が高まる昨今。その一方、人材やノウハウの不足から、デジタルマーケティングの第一歩を踏み出せない中小企業も、少なくありません。そうした企業の担当者から、今、多くの支持を集めているのがクラウド型デジタルマーケティングツール「Cloud CIRCUS(クラウドサーカス)」です。指原 莉乃さんがカラフルな動物キャラを率いてサーカスの団長を務めるCMで覚えている方もいるかもしれません。「従来のSaaSとは設計思想から異なる」というそのツール群には、どんな魅力があるのでしょうか。クラウドサーカス株式会社の北村 健一CEOにお話を伺いました。

Googleやビル・ゲイツも出資する“代替肉”スタートアップ「インポッシブル・フーズ」〜海外ユニコーンウォッチ#2〜

Googleやビル・ゲイツも出資する“代替肉”スタートアップ「インポッシブル・フーズ」〜海外ユニコーンウォッチ#2〜

「ユニコーン企業」ーー企業価値の評価額が10億ドル以上で設立10年以内の非上場企業を、伝説の一角獣になぞらえてそう呼ぶ。該当する企業は、ユニコーンほどに珍しいという意味だ。かつてのfacebookやTwitter、現在ではUberがその代表と言われている。この連載では、そんな海外のユニコーン企業の動向をお届けする。今回は欧米を中心に注目されている「代替肉」を扱う「インポッシブル・フーズ」を紹介する。

Googleやビル・ゲイツも出資する“代替肉”スタートアップ「インポッシブル・フーズ」〜海外ユニコーンウォッチ#2〜

Googleやビル・ゲイツも出資する“代替肉”スタートアップ「インポッシブル・フーズ」〜海外ユニコーンウォッチ#2〜

「ユニコーン企業」ーー企業価値の評価額が10億ドル以上で設立10年以内の非上場企業を、伝説の一角獣になぞらえてそう呼ぶ。該当する企業は、ユニコーンほどに珍しいという意味だ。かつてのfacebookやTwitter、現在ではUberがその代表と言われている。この連載では、そんな海外のユニコーン企業の動向をお届けする。今回は欧米を中心に注目されている「代替肉」を扱う「インポッシブル・フーズ」を紹介する。

「8割以上の精度で、赤ちゃんが泣く理由が判明」CES2021イノベーションアワード受賞。注目の日本発ベビーテック企業とは

「8割以上の精度で、赤ちゃんが泣く理由が判明」CES2021イノベーションアワード受賞。注目の日本発ベビーテック企業とは

テクノロジーの力で子育てを変えていく。そんなミッションを掲げ、泣き声診断アプリや赤ちゃん向けスマートベッドライトなど、画期的なプロダクトを世に送り出してきたファーストアセント社。「CES2021 Innovation Awards」を受賞するなど、世界的に注目を集めるベビーテック企業である同社の強さの秘密とは。服部 伴之代表にお話を伺いました。