QRコード詐欺の手口と技術的解消法の思考

日本では2019年10月より消費税が8%から10%に上がり、軽減税率という世にも分かりにくい8%との商品区別と、それに伴う政府が始めたポイント制度をデジタル行う事により、よりスマートフォンが生活の必須アイテムになってきました。 もはや財布を持たなくてもいいスマートフォン決済は、身の回りのモノで財布よりも大事なモノになってしまった感じがします。 朝起きて会社に行くときの途中でスマホを自宅に忘れてきたら、あなたならどうしますか？ 僕は、5分以内に取りに帰れる圏内であれば、走って返りますが、それを超えていたらその一日諦めてモンモンとしながらスマホなしで過ごすでしょう。 でも、こんな事を考えている時点でスマホ中毒なのかもしれませんね。 だって僕が学生時代には携帯電話すら無かったんですから・・・

便利なQRコード決済、使ってますか？

なんちゃらペイというサービスが、世の中に大量に出回っていて、もはや将来的に、現金を扱う店舗が少なくなってくるのは目に見えていると言っても過言じゃないでしょう。 ただ、ITリテラシが低い人は、それぞれの差も、ペイのデジタル決済の仕組みもよく理解できずに、コンビニなどで説明のままにアプリをインストールさせられ、言われるがままにそこに表示されているQRコードを提示していますが、自分のクレジットカードを登録しているQRコードはまさに財布そのものなので、非常に危険な詐欺も出てきているようです。 これは、テレビの夕方のニュースでやっていたQRコード詐欺の手口ですが、海外では、市場のような所でも、野菜や果物の横にQRコードが張り出されていて、それをスマホで撮影して支払いを行うパターンがかなり広がっているようです。（この点日本はかなり送れていると旅行者は呆れているようですよ） そのQRコードにかぶせるように別のQRコードのシールを貼り付けて、その店舗ではなく、別の口座にお金が振り込まれるような詐欺手口が増えているようです。 購入者は、お店側が用意したQRコードと思い、何の疑いもなく決済してしまうだろうし、目の前で決済したはずなのに、売上が上がらないという事で、非常に手軽に行えてしまう詐欺に、困っているのだそうです。

セキュリティ対策がどの程度できるか考えてみる

金額がそのままであれば、消費者は正直困らないのですが、店舗側はたまりませんよね。 テレビ番組では、監視カメラにQRコードを上から貼り付ける手口がバッチリ捉えられていて、ほんの１，２秒の簡単な作業にビックリしましたが、これを防止する方法を技術的に確立しないと、とんでもない不正手口の領域になりかねません。 そもそもQRコードは、スマホブラウザにURLを送る手段で使われているのですが、そこには文字列の認識があるだけで、セキュリティは一切考慮されていないので、こうした不正が簡単に行えてしまう仕様ということにエンジニアは納得していると思います。

2段階QR方式

最初に考えられる対策としては、2段階QRという方法で、２つのQRを読み込む事で、1回目でセッションを発行し、2回目でそのセッションを担保して決済完了を行うというやり方です。 この方法は、インターフェイスをかなり洗練しなければ、ユーザーが操作で戸惑う可能性が高いので、UI/UXの標準化ができれば、世の中で広がるでしょうね。 メールとSMSの二段階認証よりはよほど楽だと思います。

購入者と決済者の相互承認

QRコードで一方的な決済を行うのではなく、QWRコードを読み込むと、販売店舗側に通知が来て、販売承認ボタンを押すことで、初めて利用者の購買可能になるボタンに切り替わる方式はどうでしょう？ ポーリングを使った強固なセッション処理を確立しているサービスもあるようですが、だいたいのなんちゃらペイは簡易決済のみなので、このレベルのサーバー投資は必要になるような気はしますね。

文字認証方式

購入者はQRコードで決済する際に自分のパスワードでの認証を求められることがありますが、これが不正サイトに誘導されていたら簡単にペイサービスのパスワードを漏洩させてしまうことになります。 同じ金額を支払っているので購入者にはデメリットが無いと考えるのではなく、クレカの決済コード関連やパスワードなども抜かれてその後の詐欺被害はとんでもなくなる可能性もあるため、やはりここは防御をしなければいけないでしょうね。 そんな時に、店舗側の何かしらのワンタイムユニークコードをその場で登録して決済が店舗であるという証明が行えると利用者も安心できると思うので、金融機関のログインである、画面に書かれている文字を入力させるようにする方式で、二段階認証よりも簡易に相互認証が行えると安心感もますのではないでしょうか？

セキュリティ商売につながる思考

僕がニュースで見たのは海外の市場での手口でしたが、間違いなく日本国内でもこうした不正が置き始めるのがまさにペイが広がり始めたこのタイミングだと思います。 セキュリティ商品を販売している企業は、ペイ関連のサービス提供企業に対して、セキュリティ機能を提供できるチャンスと考える企業も少なくないと思います。 capy社の「パズル認証」や、インテック社の「電話認証サービス」などは、もともとブラウザ認証などのセキュリティで開発されていましたが、QRコード認証などへの応用も可能ではないかと考えられます。 正直セキュリティ商売は、不正手口とのイタチゴッコではありますが、これを無くして安心したサービス提供ができないという面もあるので、安定的かつ広範囲なセキュリティ対策ができる手段を構築できた会社（サービス）がニーズの首位を握れるでしょうね。 僕も個人的にQR認証ライブラリでも作って見たいと思います。 もちろんできあがったらMITでGithubにアップしたいとおもいますので、興味のある方いれば、機能要望などをご意見いただければ助かります。