【キャッシュレス】不正利用は大丈夫?スマホ決済のセキュリティー〈QRコード編②〉

2019年08月09日

[サービス]

 コード決済の特長は、モバイルデータ通信ができる場所であれば、ほぼスマートフォン(スマホ)の機種を問わず使える点です。大きく2つの方式として、利用者がQRコードをスマホの画面上に表示し、店舗のバーコードリーダーでスキャンして決済する方式(CPM)と、店舗がQRコードを掲示して利用者がスマホのカメラ機能でスキャンして決済する方式(MPM)があります。QRコードは目に見えるものであり、複製するのはとても簡単です。それでは、どのようにセキュリティーを保っているのでしょうか。

利用者が画面に表示する場合(CPM方式)

techlive_cashless3

 CPM方式の場合、利用者は支払いをするたびにアプリを立ち上げてコードを発行する必要があります。発行されるコードはある程度の桁数を持った数字で、バーコードとQRコードの両方で表示されるアプリが多いようです。一般的なPOSレジが対応しやすいように、このような仕様になっていると思われます。コードは5分程度の有効期限があり、画面に表示されている間は、このコードだけで決済できます。決済金額には上限が設けられているものも多いですが、クレジットカードを登録できるコード決済アプリもあり、場合によっては非常に高額な決済もできます。このコードは、決済のタイミングでPOSレジから決済サービス提供会社のサーバーに通信して認証します。サービス提供会社は、アプリで発行されたコードとPOSレジから送信されたコードを照合し、誰がいくら支払ったのかを判定して認証OKを出し、コードを無効化します。

注意点

 セキュリティーが心配なのは画面上に表示されているコードですが、ここで肝になっているのはコードのわずかな有効期限です。5分の間に誰かが画面のコードを撮影し、本人が決済に利用する前に使ってしまうということが考えられます。あるいは、何らかのマルウェア(ウイルスなど悪意のあるソフトウェア)をスマホにインストールしておき、離れた場所から画面を取得することができれば支払いコードの横取りが可能です。しかもこのコード、本人は少額のために表示したつもりだとしても、多額の決済に使えてしまいます。コード決済のセキュリティーを守るためには、画面に表示されるコードを他人に見せることがないよう、細心の注意を払う必要があるのです。また、この方式では決済金額を店舗側が一方的に決める仕組みになっています。もし店舗側に悪意があれば決済金額を変更することも可能なので、信頼できる店舗でしか使わないこと、確認画面で支払い金額をきちんと確認することが大事です。

店舗が掲示する場合(MPM方式)

techlive_cashless4

 MPM方式の場合、利用者は店舗のQRコードを自分のスマホアプリでカメラを使ってスキャンし、自分で支払金額を入力して決済します。店舗のメリットは、QRコードを貼っておくだけで設備が不要なこと。利用者のメリットは自分で支払い金額を指定する(できる)ことで、利用者が認識していない金額が請求されることはありません。
 QRコードの中身は、店舗IDやチェックコードを含んだURLなどが使われます。CPM方式と違って、このQRコードには短期的な有効期限はありません。複製も非常に簡単ですが、店舗のコードを複製してできることはその店舗に支払うことなので、実質的な問題はないという考え方です。

注意点

 店舗側は、決済されたことを店舗用のアプリやWebサイトなどを通して確認することができます。利用者のスマホ画面などで確認することもありそうですが、この場合、店舗側は注意する必要があります。利用者はスキャンしたように見せかけて別の(例えば自分の友人の運営する店舗の)QRコードをスキャンして支払い結果画面を見せているかもしれません。店舗のQRコードが、悪意のある誰かによって貼り替えられてしまうということもあり得ます。QRコード決済を通した売上が、実はすべて別の店舗に支払われていたという可能性もあるため、そのような不正の可能性を考える必要があります。

番外編:スマホの紛失、盗難、故障の場合

 さて、不正利用だけではなく、スマホの紛失や盗難、故障の場合のセキュリティーはどうでしょうか?スマホは、あらかじめ設定しておけば、リモートロック機能により通信やIC決済機能が使えない状態にしたり、リモートワイプ機能によってスマホ内部の全データを削除したりすることができます。スマホの電源を切ってしまえば、リモートロックやリモートワイプは実行できませんが、モバイルIC決済もコード決済も使えません。現金やプラスチックカードのSuicaなどは、盗難に遭った場合に回復することはできないので、あらかじめ適切な準備をしていれば、モバイルIC決済もコード決済も、現金やプラスチックカードより安全性が高いのです。(プラスチックカードのSuicaでも記名式Suicaの場合は利用停止やチャージ金額の回復ができます)

 利便性の高さから今後もますます普及が加速すると思われるスマホ決済ですが、不正利用などのトラブルを防ぐためには、私たちがセキュリティーに対してより感度を高め、知識を持って利用することが求められています。

※記載の商品名、サービス名及び会社名は、各社の商標または登録商標です。

★本記事に関するご感想・お問い合わせはテックファームホールディングスまでご連絡ください。

  • お問い合わせフォームもご利用頂けます

    AND MORE

  • 一覧へ戻る

各社の社名、製品名、サービス名及びサイト名は各社の商標又は登録商標です。

※当社サイト内に記載されている社名、製品名、サービス名及びサイト名には、必ずしもすべてに商標表示(®または™)を付記していません。