QRコードのセキュリティ

最近テレビで中国の街の光景を視ていると、QRコードを使って、店頭で、支払いする姿を目にすることが多いようです。

簡単で便利そうですが、何となく危ういような気もします。

QRコード

QRコードは縦軸と横軸を持ち、平面で情報を記録する2次元コードです。

従来のバーコードよりも多くの情報を格納でき、数字や英字、漢字などの多言語のデータを取り込むことができます。

QRコードのQRはQuick Response(素早い+応答)に由来し、高速読み取りができるのが特徴です。

1994年にデンソー（現：デンソーウェーブ）が開発しました。

仕様をオープン化したことから、海外でも広く利用されています。

「◯◯ペイ」と名付けられたサービスが数多く発表され、国産の二次元コードであるQRコードを利用した決済が主流となっています。

コードを手持ちのスマホなどをかざすだけで支払いができてしまう手軽さも大変便利で、各社のキャンペーン効果もあわせ普及が急速に進んでいます。


QRコード決済方法

QRコード決済には、大きく2つの決済方式があります。

ユーザースキャン方式

ストアスキャン方式

ユーザースキャン方式は、店舗側が用意したQRコードをユーザーがスキャンすることで決済する方式です。

ストアスキャン方式は反対にユーザー側が用意したQRコードを店舗側でスキャンして決済する方式です。

どちらの方式の場合も、最終的にはクレジットカードや銀行、決済アプリにチャージした残高を利用して決済を行います。

QRコード決済の安全性

スキミングのリスクが無い

スキミングとは、クレジットカードやキャッシュカードなどの磁気情報を読み取り、情報を盗む手法です。

QRコードを利用したコード決済はクレジットカードなどのキャッシュレス決済より比較的安全性が高いと言われています。

その理由としてクレジットカードは、スキミングやカード自体の盗難などのセキュリティリスクがあります。

一方QRコード決済の場合、決済に必要な個人情報がQRコードに変換されてスマホ画面に表示されます。

店員にカードを渡すことがないので、カード情報を盗まれたり不正に利用されたりする心配がありません。

またカードを持ち歩く必要がないため、カードのように落としたり紛失したりするリスクも軽減されます。

一定時間でデータが無効になる

スマホに表示されたQRコードは一定時間を過ぎると無効になり、不正利用を防ぐ仕組みとなっています。

画面のQRコードを撮影して別の支払に使おうとしても、数分後には使えなくなってしまいますので、番号が変わらないクレジットカードに比べて安全性がより高いと言えます。

高い暗号化技術一定時間でデータが無効になる

決済時に読み取られたQRコードは暗号化された状態で決済システムに送信されます。

その上、多くのQRコード決済サービスはカード情報保護の国際基準に従っているため、安全性の高い状態で管理されています。

万一自分のスマホを紛失し第３者の手に渡ってしまった場合でも、スマホやQRコード決済アプリを起動させるための暗証番号や指紋人証で本人確認をするように設定しておけば、勝手に起動して使用されるリスクを軽減することが可能です。

この点でもクレジットカードよりセキュリティ強度が高いと言えるでしょう。

機種を変更する場合でも、ログインに必要なメールアドレスやパスワードを管理しておけば、新しくアプリをインストールしてもそのまま使用することが可能です。



中国で急速に普及

QRコード決済の最大の利点は、店側にレジやスキャナーなどの装置が不要ということです。

スマホ1台あれば、スマホ決済の加盟店になれます。

特に、支払い客がスキャンと金額入力をする方式では、店側にはスマホ1台あればよく、レジやスキャナーは不要です。

設備投資がいらないことから、個人商店などで多く使われる方式です。

この「設備投資不要」という利点があったために、中国ではQRコード決済が急速に広がり、都市部では対応していない店舗の方が珍しくなっています。

どこでも使えるので、利用者も増えるという好循環を生んでいます。

中国のキャッシュレス決済比率は60％＋程度ですが、これは全国規模の数字で、都市部に限れば、90％以上になっているというのが実感です。


QRコードの詐欺事例

高い安全性を維持しているように思えるQRコード決済ですが、QRコード決済の普及が進む中国では、実際にシステムの隙をついた盗難事例が発生しています。

1．偽造QRコード

スマホ決済「アリペイ」、「WeChatペイ」が社会インフラとして普及している中国では道端の露店でも印刷されたQRコードを軒先にぶら下げている光景が見られます。

重慶市の中心部にあるショッピングモール観音橋星天広場にあるフライドチキンのファーストフード店では、「QRコードの上に別のQRコードシールが貼られ、2000元（約３万3000円）の売り上げが盗まれた」と通報がありました。

偽のQRコードを店側のQRコードにかぶせて貼るというだけのお手軽偽造で、実際に支払金が盗まれてしまったのです。

QRコードは、肉眼では内容を読み解くことはほぼ不可能です。

そのため、偽装QRコードとして改ざんされていても気づくことはかなり難しいです。


２．肩越しにスキャン

2018年8月、山西省晋城市の郭さんがあるファーストフード店で注文レジに並んでいた時に、突然スマホのバイブレーターが振動し、あるビリヤード場へ999元（約1万6000円）を支払ったという決済通知が届きました。

監視カメラを確認すると、ファーストフード店で支払いのためにQRコードをスマホ画面に表示させて列に並んでいた郭さんの後ろに怪しい男がいて、郭さんの肩越しに、郭さんのスマホの写真を撮るような素振りを見せて素早く立ち去る様子が写っていたのです。

最近は、CCDカメラの性能やQRコードの画像解析機能が上がってきているので、数10cm離れたところから撮影をしても、QRコードを読み込むことができてしまいます。

犯人は、肩越しにQRコードを読み込み、999元を請求して盗んでいました。

ハッカーのように高度な知識を持っていないとしても、簡単に不正利用することができるため、QRコード決済利用時には注意が必要です。

スマホに表示されるQRコードは数分で利用できなくなりますが、その間に不正利用されてしまう可能性も考えておかなければなりません。

３．コード決済におけるクレジットカード番号などの不正利用

昨年末日本国内で大型キャンペーンを始めたPayPayで、クレジットカード番号等の不正利用事例が発生しました。

こちらはコード決済そのものの詐欺ではなく、セキュリティコードを含む、カード情報が何らかの方法で入手され、それがPayPayに登録された可能性が高いという見解です。

PayPayではクレジットカード登録時に「3Dセキュア」に対応するなどの安全策を取っていくと公表しています。

「3Dセキュア」とは分かり難いですが、3Dセキュア対応のクレジットカード決済では、カード番号や有効期限に加え、事前にカード会社に登録をしておいた3Dセキュア用のパスワードを入力することが求められるというだけの話です。

QRコード決済の安全性対策

事例1つ目の偽造QRコードについては、店舗側が顧客のQRコードをスキャンする方式であれば防ぐことが可能です。

日本で普及しているQRコード決済サービスは、店舗やお客様のアプリにQRコードを表示する方式が主流ですが、印刷したQRコードで決済できるサービスもやはり存在します。

紙に印刷されたQRコードは改ざんしやすいので利用しないのが無難です。

QRコードのすり替え詐欺が心配な場合には、手持ちの端末でQRコードを表示する方式を選ぶ方が無難です。

実際中国でも、電子ディスプレイを導入し始める店舗も増えています。

２つめの肩越しスキャンへの対処方法は、「支払う直前までQRコードを表示しない」もしくは事前に表示させていたとしても、スマホケースなどで周りから見えない状態にするなどの対策が必要です。

一番危険なのは後ろに画面を向けた状態でQRコードを表示しておくことです。

このような状態ではかなり危険と言えます。

客側が気を付けるだけでなく、提供側もテクノロジーを使って詐欺がなくなるよう対抗しています。

例えば中国では顔認証などの生体認証を利用する方式への移行が始まっています。

日本でも偽造コードを検出する技術の開発などが進んでいます。