7月にスタートしたQRコード決済の「7pay(セブンペイ)」で、不正利用の被害が出ています。
利用者のIDやパスワードが盗まれ、知らない間に勝手に買い物をされるという被害内容で、被害額は5,500万円にも上ると推定されています。
この問題をきっかけに、QRコード決済の安全対策について関心が高まっています。
安全なQRコード決済を見極めるポイントと、強固な仕組みを持っているおすすめのQRコード決済を紹介します。
目次
「本人以外のスマホからの利用をいかに制限するか」が肝
セブンペイの不正利用は以下のような手口です。
(2) 本人以外のスマホから、利用者のIDとパスワードを使ってログインする
(3) 利用者に成りすましてチャージし、買い物をする
このような不正利用を防ぐには、「本人以外のスマホからの利用をいかに制限するか」という視点が大事です。
IDとパスワードが不正アクセスによって盗まれてしまっても、本人の所持する端末からしか利用できなければ、被害を未然に防ぐことができるからです。
そのために重要なキーワードとなるのが、「2段階認証」です。
本人確認の精度を高める「2段階認証」
「2段階認証」とは、「これからサービスを利用するのが本人かどうか」を確認する、非常に精度の高い方法です。
現在多くのQRコード決済やアプリなどで採用されています。
2段階認証の流れ
(2) あらかじめ登録した電話番号あてにSMS(ショートメッセージ)を使って「認証コード(4桁の数字)」が送信される
(3) 上記の4桁の数字を入力すると本人と確認され、初めてサービスを利用することができる
セブンペイではこの2段階認証が採用されておらず、会見で記者からこの点について問われた小林強社長は、十分な説明ができませんでした。
認証コードは本人のスマホしか受信できないようにしないとダメ
実は「2段階認証」を導入しているだけでは、本人以外のスマホからの不正利用を防ぐことはできません。
上記の流れの(2)をご覧ください。
もし4桁の数字を、任意の携帯番号あてにSMSで送ることができてしまうと、いかがでしょうか。
犯人が自分の携帯番号あてに認証コードを送ってもらうことも可能です。
よって、安全なQRコード決済とは、以下の2点を満たす必要があります。
・ 認証コードは、あらかじめ登録した電話番号(利用者本人の端末)しか受信できないこと
安全対策バッチリなQRコード決済はこれだ
安全対策の必要条件2点を満たすQRコード決済を調べてみました。
以下のQRコード決済が満たしていました。
・ オリガミペイ
・ ペイペイ
・ ファミペイ
特に安全対策が強固なのは、LINEペイとオリガミペイです。
この2つのQRコード決済は、2点の条件に加えて、独自の安全対策を講じているからです。
LINEペイは、「アカウント引継ぎボタン」という機能を持っています。
現在利用している端末から、機種変更などで他の端末へサービスを引き継ぐ際に使います。
今のスマホからこの「アカウント引継ぎボタン」をONにして、36時間以内に次のスマホから手続きをしなければ、基本的にサービスが引き継げないようになっています。
この機能により、もしIDやパスワードを盗まれたとしても、犯人が所持するスマホからLINEペイの残高を使うことはできないのです。
オリガミペイの場合は、2段階に留まらず「3段階認証」になっている点で安全対策がより強化されていると言えます。
あらかじめ登録した電話番号に4桁の認証コードが送られ、その番号を入力すると、さらに別に登録したメールアドレスにも新たな認証コードが送られます。
メールアドレスに表示された認証コードを入力し、初めて新しいスマホでオリガミペイが使えるようになっています。
利用者も仕組みを理解して自衛に努めよう
令和のペイ合戦に冷や水を浴びせたセブンペイの不正利用問題。
決済システムの業界団体「キャッシュレス推進協議会」は、今年4月に不正利用対策のガイドラインを作成し、安全対策を高めようと業界内でも努力がなされています。(コード決済における不正流出したクレジットカード番号等の不正利用防止対策に関するガイドライン)
わたしたち利用者も安全なキャッシュレス決済の仕組みを理解し、自衛に努めていきましょう。(執筆者:石田 彩子)
