Today's PICK UP

スマホ決済のセキュリティは安全?不正利用の原因と対策を解説

スマホ決済を安全に利用するためにはセキュリティ対策が欠かせません。不正利用によって損害を被る前に、セキュリティを高める設定を行ないましょう。また、どんな原因で不正利用が起こるのか、学ぶことも重要です。スマホ決済のセキュリティを解説します。
スマホ決済を利用したことがない人が敬遠する理由としてあげるのが、セキュリティへの不安です。現金決済でも財布をなくしたり、盗まれたりと、さまざまなリスクが潜んでいますが、スマホ決済の場合、セキュリティの仕組みがわかりにくいため、より不安が大きくなりがちです。2019年7月にセブンイレブンの7payで起こった不正利用事件も影響しているかもしれません。7payの不正利用ではシステムに存在した複数の脆弱性が原因だったと言われていますが、この事件を教訓に各社はセキュリティを強化しています。そこでスマホ決済で不正利用が起こる原因や対策について解説していきます。

スマホ決済に備わっているセキュリティとは

スマホには第三者による操作を防止するために、暗証番号や生体認証などセキュリティ機能が備わっていますが、スマホ決済アプリ自体にも不正な利用を防止するためのセキュリティ機能があります。具体的なセキュリティ法を解説する前に、スマホ決済の2つの方式について説明します。スマホ決済にはQRコード決済とNFC決済(非接触型決済と呼ばれることも)があり、前者はQRコード(もしくは2次元バーコード)をスマホ画面に表示して、レジの端末で読み取ってもらうか、スマホのカメラで店頭に設置されているQRコードを読む取ることで決済をします。後者はレジの端末にスマホをかざすだけで決済が完了します。QRコード決済とNFC決済ともに、事前にアプリに残高をチャージしたり、持っているクレジットカードや銀行口座から支払うなど、代金の支払い方法にはいくつかあり、利用者が選択します。

QRコード決済のセキュリティ

QRコード決済では、アプリとクレジットカードと紐づけて、後払いを選択することができます。クレジットカードではスキミングによってカードのデータが盗まれることで不正利用が発生することがありますが、QRコード決済ではクレジットカードのデータが画面に表示されることはありません。支払いに必要な個人情報はQRコードや2次元バーコードに変換されるため、スマホ画面を盗み見しただけでは、不正利用ができません。また、スマホの画面に表示されるQRコードや2次元バーコードは毎回新たに生成され、しかも表示されたものは数分間で利用期限が切れ、読み取りできなくなる仕組みになっています。

さらに、レジの端末から送信されたクレジットカードの情報は店舗に保存されることなく、破棄されています。そのため、店舗からクレジットカード情報が漏洩し、不正利用されるといった恐れもありません。事前に残高をチャージして利用する前払いを選択している人も、QRコードや2次元バーコードのセキュリティによって、不正利用のリスクは低いと言えます。

NFC決済のセキュリティ

NFC決済では支払い情報が画面に表示されることもありません。スマホを支払い端末にかざすと、スマホに内蔵されているNFCチップとレジ端末の間で通信が行われますが、クレジットカード情報や個人情報は暗号化されるため、盗むことができません。

スマホ決済の不正利用は何が原因?

とはいえ、スマホ決済で不正利用のリスクがゼロかと言えば、そうではありません。一部のユーザーから不正利用されたという報告が届いています。いったい、何が原因で不正利用されてしまったのでしょうか?

スマホ決済サービスの認証情報の漏洩

スマホ決済アプリを利用する際には、さまざまな個人情報を登録します。アプリに登録された認証情報(IDとパスワード)が漏洩すると、不正利用につながりますが、サイバー犯罪者たちはフィッシング詐欺という手法でこのデータを盗もうとします。たとえば、通信事業者のフリをして、「不正利用された可能性がある」といったSMSやメールを送りつけます。多くの場合、メッセージ内にURLリンクが貼られており、これを誤ってクリックしてしまうと、認証情報を抜き取るフィッシングサイトに誘導されてします。そして、気づかずに要求に応じて、IDやパスワード、そしてクレジットカード情報を入力することで、大切なスマホ決済サービスの認証情報が漏洩してしまうことがあります。

クレジットカード情報の漏洩

クレジットカードで決済を行うには、カード番号と有効期限(ECサイトでは裏面に記載のあるセキュティコードの入力を求められることがあります)の情報が必須となりますが、サイバー犯罪者はウェブブラウザに保存されたカード情報を盗んだり、フィッシングサイトに誘導して騙し取ろうとします。スマホ決済アプリにもカード情報を登録して決済に利用できるため、盗んだ情報で勝手に商品を購入されてしまうケースがあります。スマホ決済に限らず、クレジットカードを持っていると遭遇するリスクのひとつですが、スマホ決済アプリを利用する際にも、クレジットカード情報が漏洩しないよう注意することが必要となります。

スマートフォンの紛失

スマートフォンはカバンなどよりも小型のため、うっかり紛失したり、盗難に遭うこともあります。とくに最新の機種は高額で取引されているため、犯罪者のターゲットになりやすいと言えます。治安が良いされる日本ではスマホを落としても、親切な人に拾われ、戻ってきたというケースもありますが、悪意のある第三者に渡ると勝手にスマホを操作されて、情報を抜き出されたり、決済アプリを使って商品を購入させられるといった不正利用されてしまう可能性もあります。

偽造QRコードの読み取り

QRコード決済タイプのスマホ決済では、自身のスマホ画面にQRコード(もしくは2次元バーコード)を表示して、レジの端末で読み取ってもらうか、スマホのカメラで店頭に設置されているQRコードを読み取るという方法があります。後者の場合ですが、もし、犯罪者によってQRコードが偽造されていたとしても、人の目では識別できず、それが偽物だと判断することは難しいでしょう。もし偽造QRコードを読み取ってしまうと、不正なプログラムをダウンロードさせられ、スマホを乗っ取られてしまう可能性もあります。これはコンピュータウイルスのようなもので、勝手に個人情報や登録しているクレジットカード情報を抜き取られる危険があります。

偽造QRコードは店舗の人が気付かないうちに、第三者によって本物のQRコードが掲示されているところに、偽造QRコードのシールが貼り付けられていたり、本物のQRコードを書き換えることで、読み取ったユーザーが支払った代金が第三者に支払われるよう細工がされていたというケースも報告されています。

不正利用の被害に対する各社の補償を比較

不正利用の手口は巧妙で一般の消費者が注意していても、騙されてしまうこともあります。そのため、クレジットカード会社が不正利用に対して補償を行っているように、スマホ決済事業者にも補償制度を整える動きが広がっています。主要なスマホ決済サービスの補償制度について解説します。

PayPay

PayPayには、第三者による心当たりのない請求が発生した場合やPayPayアカウントを持っていないにもかかわらず、PayPayから請求が発生した場合に申請できる補償制度があります。損害が発生した日から60日以内にウェブサイトにある申請フォームから申し込むと、被害の全額が補償されるというものです。なお、クレジットカード情報の漏洩による不正利用の場合には、カード会社を通じて補償される場合があるので、まずはクレジットカード会社への連絡が必要となるほか、警察への被害届の提出、家族や同居人による利用ではないこと、といった条件もあります。またPayPayではユーザーの決済を24時間365日監視する体制を作り、必要に応じて決済を保留したり、利用の制限をするといった対策も行っています。

d払い

d払いでは2019年8月28日から不正利用の被害を補償する制度を導入しています。不正利用が判明したら、直ちにNTTドコモと警察に申告を行い、30日以内に損害補填に必要な書類を提出すると、全額が補償されるという仕組みです。My docomoもしくはドコモ インフォメーションセンター(フリーダイヤル)でd払いの利用停止手続きが可能となっています。

楽天ペイ

楽天ペイでは、不正利用の被害を補償(利用者に重過失があった場合を除く)する制度を導入しています。損害が発生した日から60日以内に楽天と警察に申告するというのが、条件になっており、楽天ペイ カスタマーデスクへの電話連絡か、楽天ペイアプリの利用停止申請フォームを使って申請します。

LINE Pay

LINE Payでも、第三者による不正利用で発生した損害の補償制度を導入しています。送金や支払い、出金といったLINE Payサービスのすべてが補償の対象となっており、損害の発生から30日以内に申請をします。まずはLINE Payアプリ上で利用停止の手続きを行なったあと、LINE Pay運営事務局に届け出ます。LINE Cashアカウントの1件の不正利用あたりの補償限度額は原則10万円で、LINE Moneyアカウントの場合には、損害額が10万円を超えると、補償限度額の引き上げについて個別に判断されます。また、送金を依頼した回数や金額、アカウントを作成する際の操作状況によって不正を検知するモニタリングシステムも導入されています。

スマホ決済を安全に利用するための対策5つ

各社が第三者による不正利用で発生した損害の補償を行っているとはいえ、手続きに時間がかかったり、10万円という上限額を設けている事業者もあります。そのため、安全に利用するため、セキュリティに対する備えを行なっておくことも大切です。

1.IDとパスワードを使い回さない

スマホ決済に限らないことですが、アプリを起動する際に必要となるIDとパスワードは使い回しをしないことが大切です。使い回しとは、ウェブサービスのログインや、他のアプリの起動で求められるIDとパスワードを忘れてしまわないように、常に同じものを使ってしまうことを指します。もし、使いまわしていると、一度、IDとパスワードが漏洩してしまうと、使用していたあらゆるウェブサービス、アプリで不正利用がされ、被害が拡大してしまいます。

ただ、すべてのサービスで異なるIDとパスワードを設定するのは現実的ではありません。どのサービスで、どのID・パスワードを使用していたか、把握するのが困難になりますし、定期的に不正ログインの防止のため、事業者から変更を求められるケースもあります。すると、管理すべきIDとパスワードが膨大になってしまいます。最近はIDとパスワードを管理してくれるソフトウェアやサービスもあるため、それらを活用しても良いでしょう。

2.正規のサイトからログインする

犯罪者たちはサービスのログインに必要なIDやパスワードを盗み取ろうと、罠を仕掛けます。それがフィッシングサイトと呼ばれる情報を抜き取るプログラミングが仕込まれた偽サイトですが、これらはスパムメールやSMS、あるいは広告から誘導されるケースがほとんどです。こうしたサイトにアクセスしないように、正規のサイトかどうかURLを確認しすることが必要です。常に正規のサイトからログインするように注意しましょう。

3.利用履歴をこまめにチェックする

スマホ決済アプリでは、簡単にいつどれくらいの金額を使ったのか、利用履歴を見ることができます。クレジットカードでも毎月の利用明細が送られてきたり、ウェブサイトで利用履歴がチェックできるのと、同様です。定期的に利用履歴を確認する癖をつけると、万が一、不正に利用されたとしても、すぐに気が付くことができます。多くの事業者では不正利用の補償を行なっていますが、30日以内、もしくは60日以内などと期限が設けられているため、うっかり見落としてしまうと、発見しても手遅れになってしまう可能性があります。したがって、こまめにチェックすることが大切です。

4.スマホ決済アプリのアップデートをおこなう

スマホ決済アプリに限らず、インターネットにつながるディバイスでは、セキュリティの向上を目的に頻繁にソフトウェアのアップデートが行われます。新しいコンピュータウイルスが登場したり、脆弱性が発見されるたびに運営会社が対策を取るためです。したがって、ユーザーも常にアプリのアップデートし、最新のバージョンを利用することが大切です。

5.スマートフォン本体のセキュリティーを見直す

スマホ決済アプリのセキュリティはもちろんですが、スマホ自体のセキュリティを見直すことも重要です。一定時間、操作しなければ、起動するのに暗証番号を入力する設定にしたり、より強固な指紋認証や顔認証といった生体認証でロックをかけることで第三者が操作しにくくわけです。さらに、盗難にあったときのために、遠隔操作でデータを消去したり、GPSでスマホの位置情報を特定できるサービスもあります。このように何重にもセキュリティをかけることで、安全に利用することができるようになります。

スマホ決済のセキュリティー対策は万全に!

スマホ決済は支払いに利用するアプリだけに、不正利用対策など、セキュリティに万全を期すことが重要です。いまいち操作がわからないという人もいるかもしれませんが、基本的な情報を抑えるだけでセキュリティは飛躍的に高まります。便利に利用するためにも、しっかりと対策をしておきましょう。

人気記事

マツダの天才エンジニアとして知られた人見氏が本音で語るDX!Appleなど巨大テック企業が参入するなか、日本の自動車メーカーの生き残り戦略とは?

マツダの天才エンジニアとして知られた人見氏が本音で語るDX!Appleなど巨大テック企業が参入するなか、日本の自動車メーカーの生き残り戦略とは?

100年に一度の大変革期を迎えている自動車業界。そのなかで日本の自動車メーカーの行く末に「猛烈な危機感がある」と明かすのは、かねてよりマツダの天才エンジニアとして知られ、現在はシニアイノベーションフェローを務める人見 光夫氏だ。Appleをはじめとした巨大テック企業たちが自動車業界への参入をこぞって表明する今、既存の自動車メーカーが生き残りをかけて望むデジタルシフト戦略とは。ここでしか聞けない、本音が満載のインタビューです。