QRコード決済のセキュリティ対策は？安全に利用するための仕組み

キャッシュレス決済にもさまざまな種類がありますが、よく使われているのはクレジットカード、QRコード決済、電子マネーの3種類です。

キャッシュレス決済のセキュリティはそれぞれのサービスの仕組み次第ですが、一般に以下のような不正利用のリスクがあるといわれています。

●不正ログイン：第三者がアカウントにアクセスし、不正に決済をおこなう。
●フィッシング詐欺：偽のウェブサイトやアプリにアクセスさせ、ユーザーの個人情報やカード情報を盗み取る。
●スキミング：クレジットカードの磁気情報を不正に読み取る。
端末の盗難・紛失：スマートフォンなどの決済端末を紛失したり盗まれたりする。
●マルウェア感染：システムや決済アプリがマルウェアに感染し、個人情報の盗み取りや不正決済をおこなう。

実際、経済産業省の資料によれば、2023年の国内発行クレジットカードの年間不正利用被害額は541億円と過去最大に達したと発表されています。

2020年と比べると2倍以上に増えており、キャッシュレス決済の普及とともに詐欺や番号盗用などが起こっていることがわかります。

ただし、各決済サービス提供社は、これらのリスクに対してさまざまなセキュリティ対策を講じています。

また、利用者側もパスワードを適切に設定したり、不審なメールやリンクに注意するなど、決済サービス提供社と利用者の双方の対策が重要です。

続いて、QRコード決済にどのようなセキュリティリスクがあるのかを見ていきましょう。

QRコード決済で使われるQRコード自体は、汎用の規格のため、比較的容易に作成や複製ができます。そのため、QRコード決済には、QRコードが偽造や改ざんされるリスクがあります。

特に店舗提示型（MPM方式）では、基本的にお店専用のQRコードを常時レジ周りに掲示している状態です。

そのQRコードを偽のものにすり替えることで、売上金が別の口座に送金されてしまう可能性があります。

QRコードのすり替えは特に海外で流行っている手口で、マレーシアや中国などで詐欺被害が発生しています。

トラブルや被害に遭わないためにも、店舗側はQRコードをレジ周辺などの常に目の届く場所に置き、設置状況を定期的に確認したり、売上に不自然な変化がないかなど、取引履歴の変化にも気を配りましょう。

ネットサービスでは、第三者がなんらかの方法でログイン情報を入手し、アカウントに不正ログインする手法があります。

特に近年では、ほかのサービスで流出したIDとパスワードで不正ログインを試みる手法が多いことが特徴です。これは、IDとパスワードを複数サービスで使いまわしている人が多いためです。
こうした不正ログインを許してしまうと、利用者であればたまっていたポイントをつかわれてしまったり、加盟店であれば管理画面を乗っ取られてしまう可能性があります。

不正ログインの対策としては、強力なパスワードを使用したり、2段階認証を設定したりすることが重要です。

また、加盟店側にとってもフィッシング詐欺に遭う可能性もゼロではありません。身に覚えのないメール内のURLにはアクセスしないよう気をつけましょう。

QRコード決済の「au PAY」でも、利用者や加盟店さまが安心してサービスをお使いいただけるようセキュリティ対策を実施しています。

ここではその一例をご紹介します。

au PAY アプリや加盟店向けの「au PAY for BIZ」では、SSL（TLS）による通信の暗号化が施しています。これにより、通信経路上で第三者が内容を盗み見ることができない仕組みになっています。

au PAY アプリでは、アプリの起動時にスマートフォン端末に設定しているロックとおなじ方法（指紋認証／Face ID／パスワードなど）でロックをかけられる設定を設けています。

この設定により、スマートフォンがロック解除された状態でも、第三者がログインできないようにすることが可能です。

Webのau IDでのログインや，スマホアプリ「au PAY アプリ」と加盟店さま向け管理サイト「au PAY for BIZ」、「au PAY for BIZアプリ」では、2段階認証を採用しています。

2段階認証とは、登録された電話番号のSMSやメールアドレスに認証コードを送信し、そのコードの入力を求める仕組みです。

2段階認証によって、IDとパスワードが漏洩しても、第三者がログインできないようにすることが可能です。

加盟店向けの管理サイト「au PAY for BIZ」では、24時間対応のサポート窓口をご用意しています。

決済に関する問題やセキュリティ上の懸念が生じた際に、いつでも相談できる体制が整っています。

不審な操作や身に覚えのない通知があった場合などは、事態の早期把握のためも速やかにサポート窓口にご相談ください。

前述の通り、au PAYでは通信暗号化や2段階認証などのシステムを導入することで、セキュリティ向上に努めています。

さらに、利用者向けの不正出金対策として、送金や払い出しできる口座をau IDと同一名義のauじぶん銀行口座に限定しています。

これにより、第三者の銀行口座へ不正出金されるリスクを排除でき、さらにau系サービス内でプロセスが完結するため追跡が困難な不正出金を防ぐことにつながります。

なお、公式サイトの「不正利用被害に関して」というページの内容に、不正利用の被害にあってしまった場合の対応方法がまとまっているので、ご一読ください。

QRコード決済のセキュリティを向上させるには、決済サービス提供社の対策だけでなく、利用者・加盟店さま自身が日々の運用で注意を払うことも重要です。

ここでは、今日から実践できるセキュリティ対策を見ていきましょう。

複数のサービスでおなじパスワードを使い回すことは、セキュリティ上大きなリスクとなります。

なぜなら、仮にひとつのサービスでパスワードが漏洩した場合、他のサービスも同時に危険にさらされる可能性があるからです。

QRコード決済サービスでも、他のサービスとは異なるパスワードを設定するようにしましょう。

また、長期間おなじパスワードを使うのではなく、定期的に変更することも大切です。

「パスワード 生成」とブラウザ検索をすれば、パスワードを自動生成してくれるサイトも見つかるので、ぜひ利用してみてください。

スマートフォンのOSやQRコード決済アプリを常に最新の状態に保つことも重要です。

アップデートには、セキュリティの強化や脆弱性の修正が含まれているケースが少なくありません。

逆をいえば、古いバージョンを使い続けていると、セキュリティが脆弱になりそこを狙われてしまいます。

そのリスクを軽減するためにも、自動アップデートを有効にしたり、定期的に手動でアップデートプログラムの有無を確認したりするようにしましょう。

定期的に決済履歴や入出金明細を確認することも大切です。

「ちゃんと把握できていない」という方は、身に覚えのない決済や普段と異なる金額の決済がないかチェックしてみましょう。

通知設定がある場合は、取引の都度通知するように設定することも有効です。

QRコード決済では、店舗のQRコードをお客さま側のスマホで読み取って決済手続きをすることもあります。

そのような店舗提示型の場合は、お客さまのスマホに決済完了画面が表示されたことを必ず確認しましょう。

そのような店舗オペレーションを徹底することで、「実は決済が正しく完了されなかった」「別のQRコードを読み取っていた」などのトラブルを防げます。

QRコード決済と他のキャッシュレス決済とを比較した場合、セキュリティ面でいくつかの違いがあります。

たとえば、クレジットカードの代表的な不正手口である「スキミング」について。スキミングでは、スキマーと呼ばれる機器を使って、カード情報を盗み取ります。

この点、QRコード決済は磁気やICカードを利用していないため、スキミングのリスクは大きくはありません。また、多くのQRコード決済では、QRコードが使い捨てまたは短時間で更新される仕組みになっています（顧客提示型の場合）。

また、クレジットカード決済と異なり、カード番号などの個人情報を直接開示する必要もないため、QRコード決済は個人情報保護の観点からも優れているといえるでしょう。

ただし前述の通り、店舗提示型（MPM方式）を採用している場合は、定期的にお店のQRコードが正しく機能するかをチェックしましょう。

QRコード決済は便利かつ安全性の高い決済方法ですが、リスクがまったくないというわけではありません。

そのため、QRコード決済の利用・導入にあたっては、不正アクセス、QRコードの偽造・改ざんなどのリスクがあることを理解しておきましょう。

ただ、過度に心配することはなく、正しい知識と適切な利用習慣を身につければリスクを大きく抑えられます。