ESET/マルウェア情報局
キャッシュレス社会に向け、セキュリティ面で気をつけることは
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「キャッシュレス決済の基礎知識とセキュリティ視点で気をつけるべきこととは?」を再編集したものです。
キャッシュレス決済とはなにか?
まず「キャッシュレス決済」とは、「紙幣・硬貨といった現金を使わない方法を用いて支払いをすること」を意味する。代表的なものとしてはクレジットカードや交通系電子マネーがよく知られている。そして、小切手や手形といった物理的な証券、証拠文書を用いた金銭のやり取りも、現金が介在しないことから実は「キャッシュレス」に含まれる。現金のやり取りがない銀行振り込みまで含めると、企業間の取引においてはそのほとんどが「キャッシュレス決済」で行なわれている。
一方、消費者から店舗や企業への支払いは、一部で振り込み・引き落としはあるものの、慣習的にそのほとんどが現金によるものであった。しかし、近年になってその様相は変わりつつある。「東京オリンピック開催による来日外国人の増加」、「消費税アップへの景気対策」を背景に、経済産業省がキャッシュレス推進に向けて舵を切ったのもその大きな要因のひとつだ。同省では、2017年6月に閣議決定された「未来投資戦略2017」において、10年後となる2027年までにキャッシュレス決済比率を4割程度まで高めることを目指すと発表している。近年の国内におけるキャッシュレス決済は、どのような利用状況だろうか。一般社団法人キャッシュレス推進協議会が作成したレポートの一部から抜粋した数字を紹介する。
参考:キャッシュレスロードマップ 2019(一般社団法人キャッシュレス推進協議会)
レポートによると「キャッシュレス決済は、決済額及び民間最終消費支出に占める比率ともに増加。一方で、海外諸国と比較すると日本のキャッシュレス決済比率は相当低く、今後さらなる拡大が期待される」と、わが国のキャッシュレス決済の利用状況を説明している。このグラフでは2018年末からの大々的なキャンペーンの結果が反映されていないため、現時点での実状と少し乖離しているかもしれない。しかし、海外と比較するとキャッシュレス決済はまだまだ進んでいないことは明白だろう。
キャッシュレス決済の支払方式
キャッシュレス決済にはどのようなものがあるのだろうか。代表的な決済サービスは、主に「前払い」、「即時払い」、「後払い」の方式の3種類である。
いずれもサービス開始当時はICカードチップや磁気情報を埋め込んだ物理的なカードの利用を前提として提供されていた。しかし近年、スマホでカードに埋め込まれていたものをスマホ内に搭載するように変化しつつある。そして、カード自体が不要なサービスも登場し始めている。
そのひとつが「LINE Pay」や「楽天ペイ」をはじめとしたスマホ決済だ。店側から提示されたバーコード/QRコードを自分のスマホで読み取り、支払金額を入力する。あるいは、自分のスマホに表示したバーコード/QRコードを店側に読み取ってもらう。それだけで決済は完了する。前払い、即時払い、後払いなどの支払い方法も自らが選択することができ、あらかじめクレジットカードや銀行口座を登録して使うケースが多い。さらにカードを介在させないことから、ユーザー側でQRコードを読み取って決済させる方式の場合は、バーコードリーダーなどの読み取り機が不要となる。こうした利便性の高さから、スマホ決済はさらなる普及・拡大が見込まれている。
種類別、セキュリティで気をつけるべき点
しかし、キャッシュレス決済がいくら便利だからといっても、セキュリティ上の不安はやはり拭いきれない。知らないうちにカード情報を抜き取られ、不正に偽造されたり、悪用されたりするといった被害が、しばしばニュースで取り上げられているのも事実としてある。それら犯行の多くが、スキマーと呼ばれる装置により、カード情報を抜き取る「スキミング」の手口によるものだ。では、どのような場面で「スキミング」される可能性があるのか、カードの種類別に紹介していく。
・接触型カードの場合(クレジットカード、キャッシュカードなど)
カードの磁気ストライプに書き込まれている情報を取り出すためには、スキマーにカードを接触させる必要がある。そのためカードを通す装置に仕掛けられる。ATMなどに注意書きが記載されているのを目にした人も少なくないだろう。無闇に人に手渡すのも控えたい。店舗などでの会計時にもなるべくカードから目を離さず、不正がおこなわれないよう十分な配慮が必要だ。
・非接触型カードの場合(プリペイドカード、電子マネーなど)
カードそのものに情報の送受信を可能にするICチップ機能が搭載されているため、スキマーを近づけるだけで情報を読み取られる可能性がある。これを防ぐには、市販されているスキミング防止カードの利用が有効だ。また、チャージ金額を利用状況に合わせて少額にとどめておくことも、有効な予防策のひとつといえるだろう。
・バーコード/QRコードを利用したスマホ決済
一方、スマホ決済に関していえば、今のところセキュリティ上のリスクは少ないと考えられている。自分がスマホの画面に表示させたバーコード/QRコードは、数分後には無効になるよう設定されているほか、店側がコードを表示させる場合も、情報を読み取ることはあっても読み取られることはない。また、サービス側の不具合が原因で生じたものは、サービス提供事業者によるものの、ほとんどが運営側の過失となる。この点は利用前に規約をしっかりと確認しておきたい。
スマホを利用した決済全般で気を付けるべきこと
スマホ決済を行なうスマホ自体が紛失・盗難されたら話は別だ。そうした事態が起こる可能性は少ないもののゼロではない。だからこそ、遠隔操作を可能な状態に事前に設定し、いざという時には遠隔から操作してロックできるように設定しておくべきだろう。その上で、スマホ自体を生体認証などでロックすることや二段階認証の設定、上限金額の設定なども行なっておく必要がある。これら設定はiOSとAndroidでは異なるので、自身の端末に備わっている機能なども考慮しながら設定をしておこう。
ほかにも、クレジットカードのように、ユーザーが気づかないところで不正利用されるケースなども起こりうる。サイバー攻撃の高度化が進む中で、今後はスマホのソフトウェアや決済アプリ自体の脆弱性を突いた攻撃などが発生することも十分考えられる。日頃から支払い明細の確認を習慣化することで、不正利用が発生した場合でも被害を最小限に抑えることにつながるだろう。
「金銭」の代わりとなる手段のため、万全なものは存在しない
日本では治安の良さがゆえに、現金を持ち歩くことに対して不安に感じたことはほとんどないかもしれない。しかし、他の国では現金を持ち歩くことは強奪・盗難のリスクがあるため、キャッシュレス決済のほうが安全であることが少なくない。キャッシュレス決済が普及している国ではそうした治安の事情も関係している。
日本ではこれまで現金主体でやり取りしてきたため、金銭の授受が目に見えないキャッシュレス決済に置き換わることに対して抵抗感・不安感があるユーザーが多いとされる。そして、この点がキャッシュレス決済の普及スピードの遅さにも大きく関係している。しかし、キャッシュレス決済もそれぞれの方式ごとにデメリットや脆弱性は少なからずあるものの、ユーザーとしては正しい対策を講じることで、高い利便性も享受できる。結局のところ、ユーザーとしては自身が利用する決済方法の特徴を把握したうえで、その対策を講じることに尽きるのではないだろうか。
今後、さらなる進化を遂げるスマホ決済
すでに中国などでは相当な勢いでスマホ決済が普及しており、現金を持ち歩かずとも生活ができると言われている。一方、日本ではキャッシュレス決済の普及自体が遅々と進まず、スマホ決済となるとなおさらである。しかし、利便性も高く、政府が後押しする形で店舗への普及も広がっていく中、日本でも今後は一定のレベルまで普及が進んでいくことは間違いない。キャッシュレス決済を利用する場合はメリットと同時にデメリット、そして講じるべきセキュリティ対策を把握したうえで活用し、その利便性を享受してほしい。