【キャッシュレス】不正利用は大丈夫?スマホ決済のセキュリティー〈QRコード編①〉

2019年07月23日

[サービス]

 QRコードは非常に多くの情報量を盛り込むことができ、開発元であるデンソーが特許の無償提供をしていることもあり、国際的にもここ数年、中国などを中心に爆発的に普及しています。まずは、利用者が気をつけるべき基本的なことについて解説します。
techlive_cashless2

 モバイルIC決済の本人性はスマートフォンのSIMに紐づけられているのに対して、コード決済の本人性はネットワークアカウントに紐づけられています。裏を返せば、ネットワークアカウントを乗っ取るだけで、チャージされている金額や、ひいてはチャージ設定しているクレジットカード・銀行口座までが被害に遭うことにもつながります。コード決済の安全を守るためには、一般的なネットワークアカウントと同様に、日頃から乗っ取り対策をしっかり意識しておくことが大切です。

1.十分な強度のパスワードを使う

 2019年現在のパスワード強度については、少なくとも英数字10文字以上が望ましいとされています。紙などにメモをしたとしても、確実に覚えられる短いパスワードよりは十分な強度のあるパスワードを使う方が安全です。

2.他のサービスと同一のパスワードは使わない

 一部のサービスからIDとパスワードが流出し、その情報が不正利用される事件が多数起きています。IDやパスワードが共通になっていると思わぬ被害が拡大することがあるため、サービスごとに異なるパスワードを設定することが重要です。

3.確実性の高い2段階認証を設定する

 多くのコード決済サービスでは、セキュリティー強化のために2段階認証を採用しています。2段階認証とはパスワード以外の要素を組み合わせて認証することですが、最も広く利用されているのはSMS(ショートメッセージ)による2段階認証です。いわゆる格安スマホのサービスにはSMSに対応していないものがあるため、機種変更の際にはよく確認してください。
 スマホ本体の紛失・盗難時に、スマホをロックしたり、新しいSIMを発行したりするには、通信キャリア各社のマイページなどにアクセスする必要があります。いざというときにIDやパスワードがわからない、といったことがないように、日頃からマイページを活用して、確実に2段階認証を守ることが安全な利用につながります。

4.秘密の質問への回答を工夫する

 「秘密の質問」が必須になっている場合、パスワードを忘れた時などに秘密の質問への回答を求められるケースがあります。しかし、本人にとって答えやすい質問はソーシャルエンジニアリングによって取得できる場合が多く、パスワードと同様に情報流出のリスクもあります。IPA(情報処理推進機構)からは「共通フレーズなどを追加して推測されにくい回答を設定する」という指針も出ており、注意が必要です。

5.支払いやチャージ通知のメール内容をよく確認する

 不正利用者がアカウント乗っ取りに成功した場合、電子マネーのチャージや決済をすると、登録済みのメールアドレスに通知が届きます。自分が利用していない通知が来た場合、ただちに決済事業者に連絡して利用を停止することで、不正被害を最小限にとどめることができます。
 その一方で、偽メールによるフィッシング被害も出ています。自分が利用していない通知が来た場合には、メールの内容に不自然な点はないか、ジャンプ先のURLは本当に正しいかをよく確認し、メールからジャンプした先のWebページで安易にIDやパスワードを入力しないことが大切です。

6.クレジットカードの利用明細や銀行口座の出金履歴をよく確認する

 万が一不正利用された場合でも、クレジットカードやネット銀行では、一定期間は不正利用に対する補償があります。明細書はこまめにチェックし、不正利用が含まれていないことを確認することが重要です。

・・・ To Be Continued.

次回は、QRコード決済ならではの不正利用について、注意点とともに解説します。

※記載の商品名、サービス名及び会社名は、各社の商標または登録商標です。

★本記事に関するご感想・お問い合わせはテックファームホールディングスまでご連絡ください。

  • お問い合わせフォームもご利用頂けます

    AND MORE

  • 一覧へ戻る

各社の社名、製品名、サービス名及びサイト名は各社の商標又は登録商標です。

※当社サイト内に記載されている社名、製品名、サービス名及びサイト名には、必ずしもすべてに商標表示(®または™)を付記していません。