7月にスタートしたQRコード決済の「7pay(セブンペイ)」で、不正利用の被害が出ています。

利用者のIDやパスワードが盗まれ、知らない間に勝手に買い物をされるという被害内容で、被害額は5,500万円にも上ると推定されています。

この問題をきっかけに、QRコード決済の安全対策について関心が高まっています

安全なQRコード決済を見極めるポイントと、強固な仕組みを持っているおすすめのQRコード決済を紹介します

安全対策バッチリな決済法

「本人以外のスマホからの利用をいかに制限するか」が肝

セブンペイの不正利用は以下のような手口です。

(1) 不正アクセスで利用者のIDとパスワードを盗む
(2) 本人以外のスマホから、利用者のIDとパスワードを使ってログインする
(3) 利用者に成りすましてチャージし、買い物をする

このような不正利用を防ぐには、「本人以外のスマホからの利用をいかに制限するか」という視点が大事です。

IDとパスワードが不正アクセスによって盗まれてしまっても、本人の所持する端末からしか利用できなければ、被害を未然に防ぐことができるからです。

そのために重要なキーワードとなるのが、「2段階認証」です。

本人確認の精度を高める「2段階認証」

2段階認証」とは、「これからサービスを利用するのが本人かどうか」を確認する、非常に精度の高い方法です。

現在多くのQRコード決済やアプリなどで採用されています。

「2段階認証」

2段階認証の流れ

(1) 氏名や生年月日、電話番号、ID、パスワードなどを入力し、利用者本人のアカウントを作成する

(2) あらかじめ登録した電話番号あてにSMS(ショートメッセージ)を使って「認証コード(4桁の数字)」が送信される

(3) 上記の4桁の数字を入力すると本人と確認され、初めてサービスを利用することができる

セブンペイではこの2段階認証が採用されておらず、会見で記者からこの点について問われた小林強社長は、十分な説明ができませんでした

認証コードは本人のスマホしか受信できないようにしないとダメ

実は「2段階認証」を導入しているだけでは、本人以外のスマホからの不正利用を防ぐことはできません

上記の流れの(2)をご覧ください。

もし4桁の数字を、任意の携帯番号あてにSMSで送ることができてしまうと、いかがでしょうか。

犯人が自分の携帯番号あてに認証コードを送ってもらうことも可能です

よって、安全なQRコード決済とは、以下の2点を満たす必要があります

・ 2段階認証を導入していること

・ 認証コードは、あらかじめ登録した電話番号(利用者本人の端末)しか受信できないこと

安全対策バッチリなQRコード決済はこれだ

安全対策の必要条件2点を満たすQRコード決済を調べてみました

以下のQRコード決済が満たしていました。

・ LINEペイ
・ オリガミペイ
・ ペイペイ
・ ファミペイ

特に安全対策が強固なのは、LINEペイとオリガミペイです。

この2つのQRコード決済は、2点の条件に加えて、独自の安全対策を講じているからです。

LINEペイは、「アカウント引継ぎボタン」という機能を持っています。

ラインペイアカウント引継ぎ

≪画像元:LINE公式ブログ

現在利用している端末から、機種変更などで他の端末へサービスを引き継ぐ際に使います。

今のスマホからこの「アカウント引継ぎボタン」をONにして、36時間以内に次のスマホから手続きをしなければ、基本的にサービスが引き継げないようになっています

この機能により、もしIDやパスワードを盗まれたとしても、犯人が所持するスマホからLINEペイの残高を使うことはできないのです。

オリガミペイの場合は、2段階に留まらず「3段階認証」になっている点で安全対策がより強化されていると言えます。

あらかじめ登録した電話番号に4桁の認証コードが送られ、その番号を入力すると、さらに別に登録したメールアドレスにも新たな認証コードが送られます

メールアドレスに表示された認証コードを入力し、初めて新しいスマホでオリガミペイが使えるようになっています。

利用者も仕組みを理解して自衛に努めよう

令和のペイ合戦に冷や水を浴びせたセブンペイの不正利用問題。

決済システムの業界団体「キャッシュレス推進協議会」は、今年4月に不正利用対策のガイドラインを作成し、安全対策を高めようと業界内でも努力がなされています。(コード決済における不正流出したクレジットカード番号等の不正利用防止対策に関するガイドライン)

わたしたち利用者も安全なキャッシュレス決済の仕組みを理解し、自衛に努めていきましょう。(執筆者:石田 彩子)