2019年はQRコード決済が熱い?でも詐欺に注意!
ここはとある中小企業。
今月からECサイトに携わることになった、ひらのちゃん。
WEBの知識はさっぱりな彼女がECサイトのセキュリティーに立ち向かう!ストーリーです。
気合と根性で乗り切れる…のか。
初心者の方でも簡単にわかる、かつ大事なセキュリティー知識をお届けします。
※この話はフィクションです。物語にでてくる会社はColorkrewではありません。
ひらの:すがわらさん聞いてください~
流行りのスマートフォンを使ったQRコード決済で電化製品買ったら、20%還元されました!
うれしすぎるので、この気持ちを共有します。
QRコードを読み込んで金額入力するだけで支払ができるっていうんですから、便利な世の中になりましたよね。
流行りのスマートフォンを使ったQRコード決済で電化製品買ったら、20%還元されました!
うれしすぎるので、この気持ちを共有します。
QRコードを読み込んで金額入力するだけで支払ができるっていうんですから、便利な世の中になりましたよね。
すがわら:ひらのさん、見るからに浮かれているね。
たしかにQRコード決済は便利だし、市場も盛り上がってはきているが、危険な面もあるのは知っているかい?
たしかにQRコード決済は便利だし、市場も盛り上がってはきているが、危険な面もあるのは知っているかい?
ひらの:え、危険なんですか?
こんなにみんな使っているのに?
こんなにみんな使っているのに?
すがわら:みんなが使っているからこそ、悪い奴らに狙われやすいんだ。
QRコード決済は特にフィッシング攻撃に弱いといわれている。
ひらのさんが詐欺にあうのも可哀想だし、せっかくだから説明してあげよう。
まずQRコード決済でフィッシング攻撃が起こりやすい原因は、大きく3つある。
1つめは、視認が困難であること
QRコードを見ればわかるように、ひとつひとつ形の違いを認識するのはほぼ不可能だよね。
ましてそこに含まれている情報やURLが正しいかなんて、見たって絶対にわかるわけない。
悪いやつはそこを狙うんだ。
2つめは、QRコード決済の標準化が進んでいること
2018年7月に200以上の企業や団体の賛同を得て、キャッシュレス推進協議会というものが立ち上がった。
この活動内容の中に、QRコード決済の標準化が盛り込まれているんだ。
これは、標準化によって導入側となる店舗の負担を減らすのが目的だったのだが、フィッシング攻撃の観点からしても不正を働きやすい環境になってしまう。
仕様が統一されているから、一回攻撃のタネをつくってしまえばあちこちに仕掛けられるからね。
3つめはQRコード決済の市場が急速に大きくなっていること
フィッシング攻撃は常に流行り廃りがあり、攻撃者が狙いを定めたジャンルで対策されると、すぐに他のサービスに乗り換えて攻撃を繰り返す。
銀行口座からはじまりクレジットカードに飛び火した状態だったけれど、クレジットカード業界も続々と対策を練っており、フィッシング攻撃は別の舞台に移るのではないかとみられているんだ。
それが、QRコード決済。急速に利用者・決済金額が増えているからね。
QRコード決済は特にフィッシング攻撃に弱いといわれている。
ひらのさんが詐欺にあうのも可哀想だし、せっかくだから説明してあげよう。
まずQRコード決済でフィッシング攻撃が起こりやすい原因は、大きく3つある。
1つめは、視認が困難であること
QRコードを見ればわかるように、ひとつひとつ形の違いを認識するのはほぼ不可能だよね。
ましてそこに含まれている情報やURLが正しいかなんて、見たって絶対にわかるわけない。
悪いやつはそこを狙うんだ。
2つめは、QRコード決済の標準化が進んでいること
2018年7月に200以上の企業や団体の賛同を得て、キャッシュレス推進協議会というものが立ち上がった。
この活動内容の中に、QRコード決済の標準化が盛り込まれているんだ。
これは、標準化によって導入側となる店舗の負担を減らすのが目的だったのだが、フィッシング攻撃の観点からしても不正を働きやすい環境になってしまう。
仕様が統一されているから、一回攻撃のタネをつくってしまえばあちこちに仕掛けられるからね。
3つめはQRコード決済の市場が急速に大きくなっていること
フィッシング攻撃は常に流行り廃りがあり、攻撃者が狙いを定めたジャンルで対策されると、すぐに他のサービスに乗り換えて攻撃を繰り返す。
銀行口座からはじまりクレジットカードに飛び火した状態だったけれど、クレジットカード業界も続々と対策を練っており、フィッシング攻撃は別の舞台に移るのではないかとみられているんだ。
それが、QRコード決済。急速に利用者・決済金額が増えているからね。
ひらの:フィッシング攻撃されやすい条件が揃ってしまっているんですね。
攻撃されやすいってことはわかったんですが、具体的にどんな方法で攻撃されるんですか?
まだイメージできません~
攻撃されやすいってことはわかったんですが、具体的にどんな方法で攻撃されるんですか?
まだイメージできません~
すがわら:少しはイマジネーションを働かせたらどうなんだい?まあ、いい。
次の説明に移ろう。
攻撃にもいくつか手口がある。まずは、アナログな方法から教えてあげよう。
①本物のQRコードの上に偽物のQRコードを貼る。
QRコード決済は、スマートフォンでQRコードを読み取ると送金先として口座が指定され、利用者は商品代金の金額などを自ら入力するのだが、偽物のQRコードを読み込むと送金先が犯罪者のもので登録されてしまう。
送金先が正しいか、QRコードを見ただけでは判断がつかないし、混雑時の店舗にとっていちいち情報を確認するというのも現実的ではないのでこの方法がまかり通ってしまうんだよ。
②店舗に置かれたタブレットなどの決済端末で生成されるQRコードを狙う
①で説明したような紙のQRコードの欠点を補うため、決済事業者のサーバーと連携して決済ごとにQRコードをタブレット上で生成して画面に表示するケースも増えているんだ。
ただ、この場合も事前にQRコード生成アプリケーションを乗っ取ってしまえば、偽物の情報を登録しておくことはたやすい。
さらにこんな方法もある。
③本物のQRコードに微小なドットを1つ混入させる
これはQRコードの誤り訂正技術の裏をかき、10回に9回は正常な識別子として、最後の1回だけ偽の識別子として動作させることもできるそうだ。
ドットひとつの違いなんて、人間の目で見つけるのは不可能だ!
ほら、こんな感じで便利なQRコード決済だが闇が深いんだよ。
次の説明に移ろう。
攻撃にもいくつか手口がある。まずは、アナログな方法から教えてあげよう。
①本物のQRコードの上に偽物のQRコードを貼る。
QRコード決済は、スマートフォンでQRコードを読み取ると送金先として口座が指定され、利用者は商品代金の金額などを自ら入力するのだが、偽物のQRコードを読み込むと送金先が犯罪者のもので登録されてしまう。
送金先が正しいか、QRコードを見ただけでは判断がつかないし、混雑時の店舗にとっていちいち情報を確認するというのも現実的ではないのでこの方法がまかり通ってしまうんだよ。
②店舗に置かれたタブレットなどの決済端末で生成されるQRコードを狙う
①で説明したような紙のQRコードの欠点を補うため、決済事業者のサーバーと連携して決済ごとにQRコードをタブレット上で生成して画面に表示するケースも増えているんだ。
ただ、この場合も事前にQRコード生成アプリケーションを乗っ取ってしまえば、偽物の情報を登録しておくことはたやすい。
さらにこんな方法もある。
③本物のQRコードに微小なドットを1つ混入させる
これはQRコードの誤り訂正技術の裏をかき、10回に9回は正常な識別子として、最後の1回だけ偽の識別子として動作させることもできるそうだ。
ドットひとつの違いなんて、人間の目で見つけるのは不可能だ!
ほら、こんな感じで便利なQRコード決済だが闇が深いんだよ。
ひらの:こわすぎる(´;ω;`)
これどうにかならないんですかね?
私たちはフィッシング攻撃に引っかからないことを祈ることしかできないんですか(´;ω;`)
これどうにかならないんですかね?
私たちはフィッシング攻撃に引っかからないことを祈ることしかできないんですか(´;ω;`)
すがわら:あるにはある。
店舗などの導入側が、フィッシング攻撃を防げるQRコード決済を導入するとかね。
最近特許を取得したらしいMamoru QRは、独自の技術によってフィッシング攻撃を防ぐことができるらしいよ。
店舗などの導入側が、フィッシング攻撃を防げるQRコード決済を導入するとかね。
最近特許を取得したらしいMamoru QRは、独自の技術によってフィッシング攻撃を防ぐことができるらしいよ。
ひらの:Mamoru QR?それ詳しく教えてください!
すがわら:
Mamoru QRはセキュリティー面が強固なんだ。
例えば、信頼関係を確認した間でしかQRコードを表示・読み取りをしない、一定時間に一度しか使えない64桁のトークンを2種類併用することで突破されないようするとかね。
さらに、通常はセキュリティー対策を強固にすればするほどユーザーは面倒な手順を踏まなければいけないが、Mamoru QRは利用者にとっても店舗にとっても面倒が増えないよう配慮しているのもポイントだね。
導入店舗は通常のQRコードと同様に、決済端末としてタブレットを用意すればいいだけ。
利用者はMamoru QR対応の決済アプリを入れるだけ。
これ以上は君に説明しても頭がついていかないだろうから、ここらへんで。
もっと詳細が知りたければ、問い合わせてみるといいよ。
例えば、信頼関係を確認した間でしかQRコードを表示・読み取りをしない、一定時間に一度しか使えない64桁のトークンを2種類併用することで突破されないようするとかね。
さらに、通常はセキュリティー対策を強固にすればするほどユーザーは面倒な手順を踏まなければいけないが、Mamoru QRは利用者にとっても店舗にとっても面倒が増えないよう配慮しているのもポイントだね。
導入店舗は通常のQRコードと同様に、決済端末としてタブレットを用意すればいいだけ。
利用者はMamoru QR対応の決済アプリを入れるだけ。
これ以上は君に説明しても頭がついていかないだろうから、ここらへんで。
もっと詳細が知りたければ、問い合わせてみるといいよ。
ひらの:とっても便利!
セキュリティー対策もばっちりで、利用者にとっても使いやすいとなれば日本でももっと浸透しそうですね。
セキュリティー対策もばっちりで、利用者にとっても使いやすいとなれば日本でももっと浸透しそうですね。
すがわら:
そうだね、これからますますQRコード決済は普及していくだろうから、企業も早めに対策をしてくれるといいな。
それじゃ、きみがキャッシュバックで得た分でランチでも行くか!今日の授業料として(笑)
それじゃ、きみがキャッシュバックで得た分でランチでも行くか!今日の授業料として(笑)
ひらの:
余計なこと言うんじゃなかった…
※QRコードは株式会社デンソーウェーブの登録商標です。
