昨今の社会情勢もあり、キャッシュレス決済がより多くの人に注目されるようになりました。しかし、キャッシュレス決済のサービスによってはWebサイトやアプリ、またインターネットを介するためセキュリティリスクがあります。
この記事ではキャッシュレス決済とそのセキュリティについて解説します。
また、企業が直面するセキュリティインシデントの基礎知識から実際の事例まで把握できる資料を無料で配布しています。
キャッシュレス決済の種類
キャッシュレス決済とは現金以外の手段で支払うことを指します。具体的には物理カードや電子的手段での番号やアカウント提示による信用決済です。なお、キャッシュレス決済には3つの方式があり、決済完了のタイミングによって「前払い」「即時払い」「後払い」の各方式に分類できます。まずはそれぞれについて簡単に説明します。
前払い
前払い方式はプリペイドともいわれます。
ICカードやクラウドの決済サービスに一定の金額をチャージ(前払い)し決済手段として使います。決済に利用できるのはチャージ金額の範囲内になり、残高が不足していると決済ができません。前払い決済の代表格には交通系の電子マネーや流通系の電子マネーがあります。
即時払い
即時払いは支払い手続きと同時に決済が完了するものです。
即時払いのキャッシュレス決済の主な手段にデビットカードがあります。仕組みとしては金融機関の口座と紐づいたデビットカードを使用し、支払いと同時に利用者の口座から引き落とします。これも前払いと同様、口座の残高が不足していると決済ができません。
後払い
後払い方式はポストペイともいわれます。
後払い方式の主流はクレジットカードで、審査により物理カード(ICカードもしくは磁気カード)が利用者に発行されます。クレジットカードは電子的にスマホに格納して使うこともできます。
クレジットカードには毎月の締め日と支払い日の規定があり、締め日までに使用した金額がまとめて請求されます。
なお、キャッシュレス決済サービスでは支払い方式を問わず、物理カードやスマホなどの電子端末、またインターネットを利用した決済手段が存在します。したがってキャッシュレス決済では支払い手段のいかんを問わず、情報セキュリティリスクと常に隣り合わせといえます。
キャッシュレス決済のセキュリティリスク
次に、キャッシュレス決済におけるセキュリティリスクを主な決済媒体別に説明します。具体的には「接触型カード」「非接触型カード」「スマホやパソコン(通信端末)」の3つについてお伝えします。
接触型カードのリスク
接触型カードにはスキミングやカード情報の流出リスクがあります。磁気カードのような接触型カードだと、決済端末にカードを接触させないと支払いができません。つまり、手続きのために決済端末もしくは端末を扱う担当者にカードを預けることになります。そこに脆弱性があるのです。
特にカード情報の抜き取りは次のような手口で行われます。
- 顧客の見えないところで決済端末を不正操作
- 業務中に顧客のカード情報を盗み見
- ATMにスキミングマシンを仕掛けてカード情報を窃取
被害に合わないためにはカードをむやみに渡さない、また会計時はカードから目を離さないよう気をつけましょう。
非接触型カードのリスク
非接触型カードは支払い時に利用者の手元から離す必要はないため、カード情報が漏洩するリスクは接触型カードに比べると低いです。
とはいえ、非接触型カードも盗難や紛失により利用者の元からいったん離れてしまうと、接触型カードと同様、他人の不正利用のリスクにさらされます。
スマホやパソコン(通信端末)のリスク
キャッシュレス決済をスマホやパソコンなどの通信端末によって利用する場合、不正アクセスや情報流出のリスクがあります。詳しい例として以下のようなものがあげられます。
- 不正ログインによるなりすまし
- フィッシングサイト誘導による情報抜き取り
- 端末がサイバー攻撃の標的となり情報流出
キャッシュレス決済の不正利用は決済アカウントに関連する情報の漏洩が主な原因です。物理カードのようなスキミングでなく、公式サイトをかたるフィッシングサイトに情報を入力したり、マルウェア感染により個人情報と認証情報が流出し被害に遭うのが代表的です。対策としては不審なリンク・QRコードからアクセスしない、またセキュリティソフトの利用があげられます。
キャッシュレス決済が標的になったセキュリティ事案
近年、キャッシュレス決済を標的とした事件が目につくようになりました。ここでは新興のキャッシュレス決済サービスで起こったセキュリティ事案をいくつか紹介します。
PayPayの不正利用
QRコード決済サービスを提供するPayPayは、ゆうちょ銀行における不正利用が2020年の1月から9月までに17件あり、141万円余りの被害額があったことを公表しました。
この被害は全額補償されたものの、PayPayは2018年10月のサービス開始以来、クレジットカードの不正利用など比較的短期間にセキュリティ事案をいくつか起こしています。
セブンペイアカウントの不正アクセス事件
コンビニ大手のセブンイレブンは2019年7月にセブンペイのサービスを開始したものの、多数の不正アクセス事件を受け、その年の9月末にサービス終了に追い込まれました。
セブンペイのシステムに脆弱性があり、利用者のIDやパスワード、ひいてはアカウントごと窃取され、不正チャージによる被害が相次ぎました。被害額は判明しているだけで約3,240万円にのぼるとのことです。
ドコモ口座を経由した預金の不正引き出し
携帯通信大手のドコモが展開するドコモ口座では、銀行口座からチャージした残高で決済や送金が行えます。実は不正引き出し事件が明るみになるまで、ドコモ口座の開設はメールアドレスのみで本人確認手続きは不要でした。そのため、ドコモ口座を開設した犯人が不正入手した他人の銀行口座情報から自分の口座と紐づけ、他人の銀行口座からお金をチャージして不正に引き出す事件が多数発生しました。
また、この事件では口座情報の不正入手のほか、リバースブルートフォース(逆総当たり攻撃)の手口が使われたとみられています。つまり、複数回の誤入力でロックのかかるパスワードでなく、ID入力を次々試すという攻撃が仕掛けられたようです。ほかにも銀行側のセキュリティ不備も指摘されており、「2要素認証」が未導入の銀行が狙われたといいます。
このように、新しいタイプのサービスは品質や安全性など、一般消費者にとっては未知数の部分があります。さらに、利用者がセキュリティ対策を講じていても、サービス事業者のシステムに脆弱性がある場合は手の打ちようがないこともあります。新しいWebサービスは一定の信頼性が確認できるまで様子見するのも一つの方法でしょう。
キャッシュレス決済のセキュリティ対策
最後に、キャッシュレス決済の利用者ができるセキュリティ対策を紹介します。「アカウント管理」「決済の被害(拡大)の抑止」「決済媒体の脆弱性」の3つの面から取れる対策を取り上げます。
- アカウント管理
-
- ID・パスワードの適切な管理
- アカウントのセキュリティ対策(パスワード強化、2要素認証)
- メールやSNS投稿の中のURLは不用意に開かない
- 決済の被害(拡大)の抑止
-
- 決済時のQRコード読み取りは慎重に
- 登録するカード類の利用限度額を設定
- 決済媒体の脆弱性
-
- 物理カードや、スマホ等の端末の盗難・紛失対策
- セキュリティソフトは常に最新の状態に
- 決済アプリは常に最新版にアップデート
- 使わないアプリは解約・アンインストール
キャッシュレス決済のセキュリティ対策の中心は決済媒体の紛失・盗難防止、アカウントのログイン情報の流出防止です。また万一の際でも、スマホの電話認証などの2要素認証の設定、決済サービスで利用するカード類に利用金額の上限を設定しておくと被害リスクを抑えられます。
さらにスマホなどの端末やアプリを利用するキャッシュレス決済サービスは、それらの管理も必要です。アプリやセキュリティソフトは原則として常に最新の状態に保ちます。
まとめ
キャッシュレス決済のセキュリティ対策の基本はカードやスマホ等の決済媒体の紛失対策と、アカウントの不正利用の防止です。サービス提供者のシステムに脆弱性があっても、2要素認証を利用すればいくらか安全を担保できます。リスクを理解し、それに対策することで便利なキャッシュレス決済を安全に利用しましょう。
企業が押さえるべきセキュリティインシデントの基礎知識と事例はこちら。
