QRコード決済がすでに日常になっている中国の落とし穴
QRコード決済の最大の利点は、店側にレジやスキャナーなどの装置が不要ということだ。スマホ1台あれば、スマホ決済の加盟店になれる。特に、後者の支払い客がスキャンと金額入力をする方式では、店側にはスマホ1台あればよく、レジやスキャナーは不要。設備投資がいらないことから、個人商店などでもっぱら使われる方式だ。
この「設備投資不要」という利点があったために、中国ではQRコード決済が急速に広がり、都市部では対応していない店舗の方が珍しくなっている。どこでも使えるから、利用者も増えるという好循環を生んでいる。中国のキャッシュレス決済比率は60%+程度だが、これは全国規模の数字で、都市部に限れば、90%以上になっているというのが実感だ。
これだけキャッシュレス決済が進むと、当然悪知恵を働かせるやつも出てくる。自分のQRコードをシールに印刷し、店舗が掲示しているQRコードの上に貼り付けてしまうという手口がポピュラーになっている。支払い客がお店にお金を払っているつもりでも、実際は犯人のアカウントに送金されてしまうというものだ。
さらに、駐車違反キップを偽造して、駐車違反の車に貼り付けて回る手口も有名になっている。本物の警察が、QRコード付きの駐車違反キップを発行していて、罰金をスマホ決済で支払うと警察署に出頭しなくていいという仕組みがあり、これを利用して自分のQRコードをつけた偽造違反切符をプリントし、駐車違反の車に貼り付ける。偽造だとは気づかない運転手が、せっせと罰金を送金してくれる。
このような「店が印刷したQRコード」(スタティックコード)の脆弱性は中国でも以前から指摘されていて、そのため、できるだけ「支払い客がスマホで表示するQRコード」(ダイナミックコード)を店舗側がスキャンすることが望ましいとされていた。スマホに表示されるQRコードには、アカウント情報だけでなく、時刻情報も入っていて、1分程度で、そのQRコードは無効になる。万が一、QRコードの写真を撮られて、他の店で利用しようとしても、無効になってしまうために安全だと言われていたのだ。
山西省晋城市に住む郭さんという男性が、ファストフード店のレジで注文をしていた。手にはスマホを持ち、すでに支払いのために自分のQRコードを表示している。ところがまだ注文も終わっていないのに、支払い完了を通知するバイブレーターが振動した。さらに、「ビリヤードクラブ」というところに999元(約1万6000円)を支払ったという通知が送られてきた。まだ支払のためのスキャンもしていないのにと郭さんは困惑した。
QRコードで決済をするときは、何らかの認証も必要になる。パスワードを入力するか、指紋認証をするのが一般的だ。しかし、利用者から手間がかかるという声があり、認証が必要なのは1000元以上にして、999元以下の決済では認証を省略できる設定ができる。郭さんは、少額決済では認証を省略する設定にしていたため、知らない間に送金されてしまったのだ。
求められているのは真にセキュアな個人認証インフラ
QRコード決済は、店舗側も消費者側も手軽に利用できる仕組みだが、手軽であるがゆえに数々の脆弱性がある。そのため、中国の「アリペイ」「WeChatペイ」は、急速に「QRコード離れ」を起こしている。カフェや飲食店では、スマホに表示されるメニューから注文してもらい、決済までスマホ内で行ってしまうスマートオーダーなども普及し始めているし、顔認証決済も珍しいものではなくなっている。キャッシュレス決済の行きつく先は、真にセキュアな個人認証に紐づいたインフラだろう。QRコードは、あくまでも普及期に使うもので、キャッシュレス決済が日常に普及した今の中国では、よりセキュアな方式への切り替えが図られているようだ。
抜粋
http://ascii.jp/elem/000/001/817/1817202/
続きを読む
Source: U-1
