○○Payブーム真っ盛り!でもスマホ決済って安全なの?最新ネットトラブル事情<3>
「ペンパイナッポーアッポーペイ!」
スマホ決済のことを考えると、ピコ太郎の歌とAppleのCMを一緒くたにして、筆者の娘が歌っていたのを思い出す。つい3年ほど前のことだ。
それ以降、スマホ決済はとてつもなく発展した。とても便利だし、日常の生活を変えてしまうような魅力を秘めている。たとえ、財布を家に忘れて出かけてしまっても、交通機関、自販機、コンビニ、レストラン、スーパー、ありとあらゆる場面で困らない世の中になってきたのだ。
この変化をもたらしたのは、ここ1年ほどで爆発的に普及したQRコード決済だ。
しかし、これらスマホ決済は便利さと引き換えに大きなリスクをはらんでいることを忘れてはならない。
物理的なおサイフは、そのもの自体を手に持っていないと、中の資産(お金)やクレジットカードやキャッシュカードなどに触れることはできない。
しかし、スマホに仕込まれた「おサイフ」は常にインターネットや周囲の機器と電波でつながって通信しているのだ。つまりあなたのおサイフにはネットという見えない出入口があるということ。
もちろん、決済事業者はそんなリスクに対応できるように、入念にセキュリティを設計しているのだが...... ご存知のようにすでに重大な事件は起きているのだ。
スマホ決済の大規模不正アクセス事件
皆さんもご存じだろう。2019年の夏、大きなニュースになったのは、某コンビニ事業者のスマホ決済だ。
開始後わずか3-4日で数百人の人が、自分のアカウントを犯罪者に悪用され、中には30万円を超えるクレジットカードの限度額いっぱいの買い物をされる被害も出た。最終的には1000名以上の被害者が出たと言われている。
公式発表では「パスワードリスト型攻撃が主要な原因」とされたが、それでは説明できないケースも沢山あった。結局のところ本当の原因については解明されないまま9月末をもってサービスの中止が決定された。
しかし、この事件の騒ぎを知っていても、いったい何が危なくて、どんな備えをしなくてはならないか全く見当がつかないのではないだろうか?
「何か危なそうなのでやっぱり止めておこう」そう思ってはいないだろうか?
ここではっきり言っておきたい。
スマホ決済はこれから世の中の常識となっていくインフラなのだ。
むやみに怖がっていてもしょうがない。
スマホ決済の便利さを存分に味わうためにも、何が安全管理上のポイントなのか整理してみたいと思う。
守るべきものは何?スマホ決済の仕組みから考えてみようスマホ決済を簡単に説明すると、スマホに決済に必要な情報を覚えさせて、クレジットカードやデビットカード、プリペイドカードの代行をさせる仕組みになっている。
ポイントはこの「代行」するというところだ。
ユーザーは、スマホ決済事業者が決済を代行できるために、自分のクレジットカードアカウントやオンライン銀行アカウントへのアクセスを登録、設定することになる。プリペイド残高の追加やオートチャージを行うために必要だからだ。
また、このアカウント情報はスマホの故障や買い替えの場合に、他の機種へ移行することができる。
もし、アカウント情報が漏れてしまうと、スマホ決済の登録だけでなく、そこにひもづけされたクレジットカードや銀行口座へのアクセス権もそっくり、犯罪者のスマホに移される危険性がある。
つまり最も重要なのはこの
「自分のアカウントへのアクセス情報」
つまりあなたが厳重に守るべきものは「ID・パスワード」なのだ。
犯罪者がID・パスワードを入手する方法とは?
現在、日本国内を標的にしたフィッシャーと呼ばれるフィッシング詐欺を専門とした犯罪グループがいくつか暗躍していることがわかっている。
彼らは、大手企業の名前を騙った偽のメールやSMSメッセージを大量にばらまく。その数は1回で300万~400万通とも言われている。そのメールには、犯罪グループが用意した大手企業の偽サイトへのリンクが貼ってあり、精巧につくられた偽のログイン画面にID・パスワードを入力させる。1回の偽メール配信で1000人に1人、わずか0.1%の人がログインを試したと仮定すると、3000~4000件のID・パスワードが入手できるのだ。
特にスマホ決済と密接なAppleIDの場合は最も高値で取引されており、ブラックマーケットでの相場は一件当たり1500円程度と言われている。単純計算ではあるが、一回の偽メールのばらまきで450万~600万円の稼ぎとなってしまう可能性もある。こんな効率の良いビジネスは無いだろう。
そして、アカウント乗っ取りを働く犯罪グループは、フィッシャーと呼ばれるリスト収集専業犯罪グループからリストを購入していると言われている。
もし、あなたがID・パスワードを複数のサービスや金融アカウントで使いまわししていたら、どこかしら1か所で情報漏洩しただけで、あなたの全てのアカウントが不正アクセスの危機にさらされることになる。
企業からクレジットカードやパスワードの流出
クレジットカード犯罪は、インターネット普及前からある歴史の長い犯罪だ。何らかの方法で使用できるクレジットカード番号を入手した犯罪者の手によって、偽のクレジットカードがつくられてきた。それを防ぐためにチップを内蔵したカードへの移行が進み、クレジットカード犯罪の被害額は減少傾向にあった。しかし、スマホ決済の普及で一気に増加へと転じている。
偽カードを作らなくても、不正なカード情報をスマホで登録するだけで、怪しまれることなく決済できてしまうからだ。
また、インターネットサービスの企業が不正アクセスによって、個人情報が流出することもある。これらはユーザー側から具合的な対処を行うことが困難だ。
IDやパスワード情報は、常に漏洩するリスクがあるという心構えが大切。大切なことは不正利用を防ぐ方法を考え、準備しておくことだ。
犯罪被害に遭いにくい使い方とは?
ID / パスワードの管理を徹底する
これは基本中の基本だ。お金に直結する金融系のアカウント、銀行、クレジットカード、スマホ決済サービス、Googleアカウント、Apple IDのパスワードはすべて異なるものにしておき、決して使いまわししないことだ。
なになに? とても憶えられない?
だったら紙に書いてお財布の中に保管しておくとよい。
財布を盗まれたり、落としたりしない限り、それが流出することはない。
もちろん、メモを写真に撮ったり、ブラウザーに憶えさせたりするのはお勧めできない。
電子データは簡単にコピーされ流出しやすいからだ。そしてもし事業者から情報漏洩の連絡が来たら、すぐにパスワード変更することを忘れずに。
2要素認証を設定する
2要素認証とは、オンラインショッピングサイトやGoogleアカウント、AppleID、FacebookなどのSNSにも採用されている。ID、パスワードが犯罪者の手に渡ったとしても、自分が使用する端末以外からのアクセスだった場合に、SMSなどで確認コードが送られてくるという仕組みだ。携帯電話番号は、1人に1つ、ユニークなものだ。本人の所有するスマホだけに確認コードが来れば、第三者がID、パスワードを知っていてもアクセスはできない。
そして、2要素認証が無い、パスワード変更が誰にでもできてしまうといったスマホ決済サービスは、絶対に使わないことだ。
常に利用明細を確認する習慣
クレジットカード番号の流出、盗用は自分から防ぐ方法は無い。しかし、カード会社各社は、不正利用検知システムを持っており、カード利用者の通常の行動から予測して、不正な購買行動を自動的に検出することができる。不正を検知した場合はカード会社から、所有者に確認連絡が来るので、いつでも連絡できる携帯電話番号を登録しておくことが大切だ。
また不正使用が認定されればクレジットカード会社が負担してくれる。もちろん検出されない場合もあるため、クレジットカードの利用明細や、銀行口座の引き落とし明細は、1か月に2回程度は目を通し、身に覚えのない請求が無いかチェックした方が無難だ。
さて、ここまでの説明で、ご理解いただけただろうか?
スマホ決済の安全対策といっても、特別なことは無い。
「IDパスワードの管理」と「2要素認証」「利用履歴の確認」この基本を徹底することと憶えていただきたい。
そして、必要以上に恐れることなく、新しいスマホ決済の便利さやポイント還元のメリットを十二分に享受してもらいたいと思う。
