
中国広東省において、商品識別やモバイルサイトへのアクセス、店頭決済に用いられるQRコードが偽装・改ざんされ、消費者から合計で約9,000万元(約15億円)が盗み取られる事件が発生した。
QRコードが犯罪行為の手段として悪用されやすい理由は主に2つある。
第一に、QRコード自体の技術的なセキュリティーの脆弱性である。QRコードは簡単に生成・複製できるため、悪意ある第三者によって改ざんされたり、フィッシングサイトへの誘導用コードに差し替えられたりするリスクがある。
第二に、QRコードは人間の目で内容や安全性を判別することが不可能な点である。消費者はスキャンするまでそのQRコードが本物か偽物かを区別できない。この特性を突き、犯罪者は店舗が提示している正規の決済用QRコードの上に、自身が管理する口座のQRコードステッカーを上貼りする。これによって、購入者が支払った代金やクレジットカード情報をだまし取るという手口が横行している。
QRコードの不正利用そのものを完全に防ぐことは困難であるため、QRコードを用いた決済プラットフォームを提供するサービス事業者は、高度なセキュリティ監視と検知技術を導入する責任がある。
中国で圧倒的なシェアを持つ決済アプリ「WeChat Pay(ウィーチャットペイ)」や「Alipay(アリペイ)」は、リアルタイムで悪質なトランザクションを監視するセキュリティソフトウェアを導入している。
例えばAlipayでは、ユーザーがスキャンしたQRコードの遷移先URLを自動検出する機能を備えている。スキャン先が悪質なリンクや詐欺サイトであると判定された場合、システムは即座に警告画面を表示し、ユーザーに注意を促す。
しかし、監督機関の関係者は、「悪意あるQRコードの利用から消費者を保護するためには、プラットフォーム各社の個別対策に加え、業界全体でQRコードの作成・管理に関する統一的なセキュリティ基準を確立することが不可欠である」と指摘している。
【解説】中国のキャッシュレス黎明期に多発した「ステッカー上貼り詐欺」は、QRコードが単なる視覚的インデックスであるという物理的脆弱性を突いたものである。日本でもキャッシュレス決済の導入初期に同様の懸念が示され、店舗側がアクリルスタンドでQRコードを保護したり、ユーザーが決済後に決済完了音を店員と相互に確認する運用が導入されるなど、セキュリティ強化が図られるきっかけとなった。
情報源: 南方都市報、ChinesePayment翻訳編集
コメント
...