7pay(セブンペイ)やPayPayなどキャッシュレス決済の不正利用を受けて、2019年8月11日に金融庁が企業への立ち入りを含めた集中検査を始めることを発表。日経新聞によれば、不備が見つかれば行政処分も検討するとされています。

消費増税や2020年オリンピックを前にしてキャッシュレス化を進める企業が続々登場す中で、消費者も賢く立ち回らなければ不正利用被害に見舞われてしまう可能性は高くなっています。この記事ではキャッシュレス決済の選び方や不正利用対策について解説していきます。




キャッシュレス決済の不正利用手口

クレカのスキミング

キャッシュレス決済の不正利用手口にはいくつかの種類がありますが、主流なのはクレジットカード情報のを盗まれるスキミングという手法です。クレジットカード情報を不正に入手することによって、第三者が不正に決済を行うことができます。もちろん条件を満たした上でカード会社に連絡をすれば補償されますが、その間クレジットカードが使えなくなるなど不利益が被ることは言うまでもありません。


パスワードの総当たり

キャッシュレス決済の中にはクレジットカード情報やパスワードの入力が無制限にできるサービスも過去にありました。そのため、カードや口座情報、パスワードが認証されるまでアプリ内で無制限に入力し続け、不正利用に至る場合もあります。サービス提供側が入力回数制限を設けることによって解消できる問題ではありますが、こういった抜け穴を見つけて不正を働く犯罪者が一定数いるということは認識しておくべきです。


ハッキング、スマホの盗難

難易度が高くなるものの、海外では個人のスマホがハッキングされたりSIMカードを盗まれるといった事件も起こっています。キャッシュレス決済では一度スマホで設定するだけで簡単に利用できるため、スマホ本体を盗まれてしまうと勝手に利用されてしまう可能性があります。スマホのパスワードロックやFaceIDで第三者の利用を防止することも有効ですが、ハッキングされた場合にはそれも難しくなります。


PayPayの不正利用

セキュリティーコード総当たり入力

ヤフーやソフトバンクGの出資によって設立されたPaPayではサービス開始1ヶ月の間にセキュリティコードを20回以上入力し登録に至ったケースが13件あったと公表。うち9件は本人による登録が確認できたものの、4件の詳細は明らかになっていません。


PayPayの不正利用防止対策

PayPayは2018年12月27日に不正利用防止対策として、「入力回数制限を設けること」と「本人確認サービス(3Dセキュア)」を実施することを発表しました。

また同発表には不正利用が認められた場合にPayPay側が不正利用分を全額負担することも明記されています。

PayPayについては以下の記事でも紹介していますので、ぜひご覧ください。



セブンペイの不正利用

900名、約5,500万円の被害

セブン&アイHD傘下のセブンペイは第三者による不正被害を受けたことを発表。発表内容によれば、登録されたクレジットカードなどから不正に金額がチャージされるもので約900名のユーザに約5,500万円規模の被害がでている様子。セブンペイは2019年7月4日により新規登録とチャージ機能を一時停止し、7月11日には外部ID(Facebook、Twitter、Google、Yahoo!JAPAN、LINE)によるログインを停止しました。


ずさんなセキュリティ対策

セブン&アイのECアプリ「オムニ7」のソースコードがGitHub(ソフトウェア開発のプラットフォーム)に7月10日まで公開されていた様子。

本件からセブン&アイHDが情報の管理が徹底されていない上に、外部IDログインに対して脆弱性があることが指摘されています。


キャッシュレス決済の選び方

認証システムを見極める

キャッシュレス不正利用事件から学べることは、他のスマホ(端末)からログインすることができるかどうかを調べるのが大切ということ。もっと簡単に言うならば「本人確認作業」や「二段階認証」が付いていないキャッシュレスアプリは利用してはいけないということになります。セブン&アイのような超大手企業であってもセキュリティ対策が杜撰になることもあったので「大手だから安心」という思い込みは危険です。


本人確認作業とは

本人確認作業とはサービスアプリ内で本人確認ができる身分証明証(運転免許証やパスポート)や本人の顔写真を提出することを意味します。アプリをインストール後、本人である証拠を提示することによって、本人以外からの利用をブロックすることができます。

簡単に言えば、本人を証明するものがなければ第三者はアクセスしたり利用することができない仕組みが完成します。

サービスを利用するにあたって個人情報の入力が必要ないキャッシュレス決済は安全なように見えて、とても危険性が高いという認識を持っておくことが重要です。


二段階認証とは

二段階認証とは「Google Authenticator」というアプリに代表されるようにログイン時にパスワードを2回入力しないと利用することができないという仕組みです。1つはもともと設定したキャッシュレス決済アプリのパスワードを入力しますが、もう一つは外部アプリから送られてくる暗証番号を入力することになります。SMSを使って利用者の携帯番号に暗証番号を送る方法もあり、Google Authenticatorを使うにせよ、二段階認証は本人のスマホを持っていない限り暗証番号を知ることができないので、第三者が不正に利用することはほぼ不可能となります。

こういった二段階認証の仕組みを採用しているサービスを選ぶことが重要です。


これからどのキャッシュレス決済サービスを使うか迷っている方は、当ブログでまとめているキャッシュレス決済の関連記事をご覧ください。詳細はこちらをクリックすると閲覧可能です。