is702
is702はトレンドマイクロが提供するインターネットを
安全に楽しむためのセキュリティ情報サイトです。
is702はトレンドマイクロが提供するインターネットを安全に楽しむためのセキュリティ情報サイトです。
不正ログインで悪用される!?

スマホ決済サービスのリスクと7つの対策ポイント

2020/05/21
不正ログインで悪用される!? スマホ決済サービスのリスクと7つの対策ポイント

現金をやり取りしない新たな決済手段として定着しつつあるスマホ決済。スマホひとつで簡単に支払いができるためとても便利ですが、第三者に不正利用されるなどのリスクもはらんでいます。スマホ決済サービスを取り巻く危険を知り、7つの対策を実践しましょう。

スマホ決済サービスがサイバー犯罪者に狙われている

キャッシュレス決済が国内でも広がりを見せています。身近なところではクレジットカードやプリペイドカード、電子マネー、デビットカード、口座振替などが利用されてきました。近年、キャッシュレスによる決済方法の中でもひときわ存在感を増しているのがスマホで支払いをする「スマホ決済」です。スマホ決済は仕組みの違いによって大きく「キャリア決済」「非接触型決済(非接触IC決済)」「QRコード決済」の3つに分けられます。スマホひとつで決済を完結できる手軽さや、キャッシュレス決済時のポイント付与、還元を目的にこれらのスマホ決済サービスを使い始めた人も多いのではないでしょうか。

ただ、利用者の多いオンラインサービスはサイバー犯罪者に狙われる傾向にあり、スマホ決済サービスも例に漏れず格好の標的になっています。多くのスマホ決済サービスではクレジットカードや銀行口座などの決済に必要な情報がひもづいており、それらを悪用すれば金銭的な利益を得られるためです。スマホ決済サービスにはどのようなリスクがあるでしょうか。

アカウントの乗っ取りに要注意

●脅威1.決済サービスを偽装したフィッシング詐欺

スマホ決済サービスのアカウントを侵害され、商品を不正購入される被害が発生しています。サイバー犯罪者がアカウント乗っ取りに用いる手口の1つはフィッシング詐欺です。たとえば、QRコード決済サービスのPayPayをかたり、「アカウントの異なる端末からのアクセスのお知らせ」などと通知するメール経由で受信者をフィッシングサイトへ誘導する手口が報告されています。もし、本文内のURLリンクを開いてしまうとPayPayのロゴ入りのフィッシングサイトが現れ、そこで入力した認証情報(携帯電話番号とパスワード)や個人情報、クレジットカード情報などをだまし取られてしまいます。

●脅威2.アカウントリスト攻撃や辞書攻撃による認証突破

アカウント乗っ取りの手口では、アカウントリスト攻撃や辞書攻撃にも注意が必要です。アカウントリスト攻撃は、フィッシング詐欺やサービス事業者へのサイバー攻撃、ダークウェブ上の売買サイトなどを介して不正に入手した認証情報をリスト化し、それらを用いて他のサービスへのログインを試みる手法です。利便性を優先し、複数のサービスに同一の認証情報を設定している利用者は、アカウントリスト攻撃による乗っ取り被害に遭うリスクが高くなります。一方、辞書攻撃は、辞書に載っている英単語やパスワードに使用されやすい文字列を登録したリストを準備し、それらを1つのIDに対して順番に試していく手法です。アカウントの乗っ取りを防ぐため、IDとパスワードを使い回したり、単純な文字列をパスワードに設定したりするのはやめましょう。

ある大手コーヒーチェーン店では、2019年10月に独自の決済サービスで第三者によるアカウントの不正利用が発生したことを公表しました。アカウントリスト攻撃による不正ログインと見られることから、同社は決済サービスの利用者に対してパスワードを変更するとともに他のサービスと同じパスワードを使い回さないよう呼びかけました。

●脅威3.決済サービスやアプリの隙を突く攻撃

非接触型決済やQRコード決済の利用にあたっては、専用の決済アプリをインストールし、事前にチャージ(入金)しておくか、クレジットカードや銀行口座などの情報を登録しておく必要があります。そのため、アカウントやデバイスを悪用された場合、金銭被害に直結します。
スマホ決済サービスは、2019年10月の消費税率増税に伴って急激に利用者が増加し、類似サービスも次々と生まれました。しかし、中には認証手順の隙を突いた不正ログインやクレジットカード情報の盗用などが発生し、サービス開始からわずか数カ月で廃止になったものもあります。どんなサービスやアプリでも当初は見えなかった欠陥や不具合が後に露見する場合があり、サイバー犯罪者はそれらを悪用する機会を常に狙っているのです。
スマホ決済サービスの非利用者も油断はできません。クレジットカード利用者であればだれもが被害者になり得ます。サイバー犯罪者は、フィッシング詐欺や正規サイトの改ざん(Eスキミング)、サービス事業者への攻撃などによって不正に入手した他人のクレジットカード情報を手元の決済アプリに登録し、商品を不正購入する可能性もあるのです。

スマホ決済サービスを安全に利用するための7つのポイント

1.アカウントの登録と管理を適切に行う

スマホ決済サービスを安全に利用するための基本は、登録時に必ずサービスごとに異なるIDとパスワードの組み合わせを使用すること、第三者に推測されにくいパスワードを設定することです。利用状況を定期的に確認し、身に覚えのない決済履歴を見つけた場合は直ちにサービス事業者やクレジットカード事業者に相談しましょう。

2.アカウントのセキュリティ対策を強化する

主なスマホ決済サービスでは、パスワード認証とは別に二要素認証などのセキュリティを強化できる認証方法を提供しています。設定できる場合は必ず有効にしておきましょう。二要素認証にはスマホをトークン(一定時間おきに変更され、一度しか使えないワンタイムパスワードを生成する機器)として利用するものがあります。ログイン時にはIDとパスワードに加え、SMSなどで取得できる認証コードも入力しなければならないため、第三者が不正ログインしにくくなります。
ただし、最近のフィッシング詐欺には二要素認証の認証コードを入力させるものもあります。認証情報を入力する前に、必ず正規サイトかどうか確認しましょう。

3.メールやSMS内のURLリンクを不用意に開かない

著名な決済サービス事業者や、携帯電話事業者に偽装したメッセージを仕立て、SMSやメールから利用者をフィッシングサイトに誘導しようとする手口が継続的に報告されています。ログインが必要などと称してURLリンクを開かせようとするものは注意が必要です。アカウントへのログインは必ずブックマークに登録した公式サイトや、公式アプリから行いましょう。
各サービス事業者やセキュリティ関連団体の公式サイトでは不正なメッセージの例を紹介しています。利用中のサービスの事例を知り、自衛策に役立てましょう。

注意喚起情報の一例

4.セキュリティアプリを最新の状態に保って利用する

昨今のフィッシングサイトは正規サイトと見分けがつかないほど巧妙に作られています。また、そこへの誘導手段として主に用いられる偽装SMSやメールのだまし文句にもさまざまな工夫が凝らされます。さらに、スマホに不正アプリをインストールしてしまうと、SMSに送られてくる認証情報を窃取されるなどの危険性もあります。
自身で回避することが難しいサイバー攻撃から身を守るためには、パソコンだけでなくスマホにもセキュリティアプリを入れ、最新の状態に保って利用することが欠かせません。スマホはいまや財布としての役割も担うことができます。個人情報やプライバシー、お金を守るために、セキュリティ対策を怠らないようにしましょう。

5.決済アプリは公式のアプリストアから最新のバージョンを利用する

スマホ決済アプリを入手する際は、Google PlayやApp Store、携帯電話会社などが運営する公式のアプリストアを利用しましょう。メールやSMS、SNS内のURLリンク、ネット広告などからたどり着いたアプリの配布サイトは不正なものである可能性があります。Webサイトを閲覧しているときに突然アプリのインストールを促された場合も警戒してください。ただし、公式アプリストア内にも不正アプリが紛れ込んでいる場合があります。どのようなアプリであっても、インストールする前に必ず配信元や詳細を確認する習慣を身につけましょう。
また、スマホやアプリの脆弱性を放置していると、情報漏えいなどの被害につながる危険性があります。OSやインストールされているアプリを最新の状態に保つことも欠かせません。アプリの自動更新を有効にし、開発元から提供されたアップデート版を忘れずに適用できるようにしましょう。

6.スマホの盗難、紛失対策を行う

スマホ本体だけでなく決済アプリ自体にも、使う頻度や使用上限金額に応じて可能であればロックをかけておきましょう。ロック解除には事前に登録したパスワードや暗証番号、生体情報などによる認証が必要なため、第三者に決済アプリを不正利用されにくくなります。また、決済の上限金額や、オートチャージ設定を見直し、悪用された場合の被害をおさえておくことも対策の一つです。
紛失、盗難に備え、スマホの位置を特定したり、遠隔からスマホをロックしたりできるよう、スマホのGPSと「iPhoneを探す(iOSの場合)」「端末を探す(Android OSの場合)」や、セキュリティアプリに備わっている探索機能も有効にしておきましょう。

7.使わない決済アプリは解約、アンインストールする

使わなくなった決済アプリについては、提供元であるサービス事業者の公式サイトなどで解約時の注意点などを確認してからアンインストールしましょう。決済アプリに限らず、利用していないアプリを放置しておくことはセキュリティリスクにつながります。定期的に棚卸をしましょう。

※この記事は制作時の情報をもとに作成しています。