利便性の高さで注目を集めるQRコード決済。一方、セキュリティー面のリスクが不安視されている。日経FinTech2018年8月号「『偽装QRコード』の脅威」で実態を押さえよう。
これまで解説した基礎知識を踏まえて、偽のQRコードによる不正がなぜ起こり得るのか詳説していく。
QRコードを店頭などで掲出する方法には大きく2つのタイプがある。一つは、サービスを受ける側の消費者が自分のスマートフォンに表示したQRコードをサービス側に読み込ませるタイプで、「CPM(Con-sumer Presented Mode)」方式と呼ばれる。もう一つは、逆にサービス側が表示したQRコードを、消費者のスマートフォンで読み取るタイプ。こちらは、「MPM(Merchant Presented Mode)」方式と呼ばれる。
中国では、MPM方式で口座番号に相当する認識情報を収めたQRコードを店舗で掲示する場合が多い。ここに目をつけた犯罪者が、他の認識情報を入れた偽のQRコードを作って本物のQRコードを上書きして、不正送金させる犯罪がここ数年多発している。
QRコードを読み取る際に認識情報が正しいかどうか確かめられれば被害を防げるが、そのためにはチェック処理などを組み込まなければならない。スピーディな決済という利便性を損いかねないことから、現状AlipayもWeChat Payもチェックはせずに送金を終了してしまう。
日本では、WebサイトのURLにジャンプさせる目的でQRコードがよく使われている。駅に掲出したポスターや飲食店のメニューなどで、自社サイトへ誘導するQRコードが印字されているのを目にしたことがあるだろう。
もし誰かが、中国のように悪意のあるフィッシングサイトのURLを格納したQRコードを、本来のQRコードの上に貼ってしまったらどうなるか。QRコードリーダーにはチェック機能はなく、利用者はジャンプ先が偽サイトとは気づかずにアクセスしてしまうだろう。
もう一つのCPM方式なら無条件で安全かと言えばそうとも言い切れない。サービス側の端末にマルウエアを仕掛け、通信を改ざんして他者に成り済ます不正も考えられる。買い物をしたお店ではない悪意のある第三者に、商品代金をかすめ取られてしまうわけだ。
大がかりなPOS(販売時点情報管理)システムではこうした攻撃は難しいが、スマートフォンを決済端末として使っている小規模店舗はマルウエアを仕込むなど狙われやすい。
