「Alipay(アリペイ/支付宝)」や「WeChat Pay(ウィーチャットペイ/微信支付)」などを中心に、急速なスマートフォン決済(キャッシュレス決済)が定着している中国。今や屋台の個人商店から市場の露店まで、至るところに決済用QRコードが掲げられています。このテクノロジーは消費者と事業者の双方に極めて高い利便性をもたらしていますが、同時に原始的かつ盲点を突いた新たな犯罪の手口も生み出しています。
2017年7月に重慶市で発生した事件は、高度な情報セキュリティシステムを整備しても、最終的に操作するのが人間である以上、アナログな手法による「ソーシャルエンジニアリング」が最大の脆弱性になり得ることを示しました。
現地メディア『重慶晨報』などの報道によると、重慶市内の複数の飲食店やアパレル店を狙い、店舗の受け取り用QRコードをすり替える詐欺を働いたとして、男2人が逮捕されました。5月下旬、ショッピングモール内のファストフード店から「売上金が口座に入金されていない」と警察に通報があったことが発端です。
店員がレジカウンターに設置されたQRコードを確認したところ、本来のQRコードのアクリル板の上に、印刷された別の偽のQRコードシールが精巧に貼り付けられていました。
中国のコード決済では、消費者が店舗の提示したQRコードをスマートフォンのカメラで読み取って金額を入力する方式(店舗提示型/MPM方式)が広く普及しています。この方式は専用の決済端末が不要で低コストなため、多くの店舗がレジカウンターにQRコードを貼っていますが、犯人は混雑時を狙って店員の目を盗み、自身の受け取り口座に繋がる偽のシールをその上に重ねて貼っていたのです。
このような単純な手口にもかかわらず、店側が気付くまでに約2,000元(約3万2,000円)分の売上金が犯人の口座へ流れていました。通常、コード決済が成立すると双方の端末に通知が届きます。しかし、ピーク時の飲食店などでは、客側がスマホの決済完了画面を見せて「支払いました」と店員に告げ、忙しい店員は自店の管理端末で着金をいちいち確認せず信じ込んでしまう傾向があり、この運用の甘さが悪用されました。
重慶警察が捜査を進めたところ、同モール内で不審な動きをしていた男2人組を拘束。彼らのバッグからは、合計314枚もの偽のQRコードシールが発見されました。
取り調べに対し、容疑者らは偽造された身分証明書などを使い、追跡の難しい架空名義の決済アカウントを大量に開設していたことを認めました。すでに周辺の複数の繁華街で20店舗以上のQRコードをすり替え、合計1万元(約16万円)以上の売上金を詐取していたことが判明しています。
どれほど強固な暗号技術やセキュリティを決済プラットフォームに施しても、物理的な提示部分を物理的なシールで上書きするという「究極のアナログハック」を防ぐことはできません。この事件は、日本国内でQRコード決済(PayPayなど)を導入する店舗にとっても、物理決済シールの保護や、レジ側の自動音声着金確認といった対策の重要性を示す教訓となっています。
(情報源:Roboteer)
コメント
...