キャッシュレス決済に絡む不正利用が、次々に明らかになっている。
時事通信の報道によれば、2020年10月8日には、スマホ決済PayPayを新規に登録した人に贈られる電子マネーを不正に現金化したとして、警視庁が3人を逮捕した。
PayPayに限らず、ゆうちょ銀行、NTTドコモ、各地の地方銀行などで浮上したキャッシュレス決済に絡む不正では、多くの場合、本人確認の穴をつかれている。
いまのところ、不正を防ぐ対策として各社が2段階認証を導入しているが、この方法にもすき間はある。
SMS(ショート・メッセージ・サービス)を使った2段階認証を代行してくれるサービスまで存在するのが現状だ。
SIMカード4万枚用意、PayPay登録
時事通信によれば、PayPayの不正使用事件では、電子計算機使用詐欺の疑いで3人が逮捕された。
容疑者たちは4万枚のSIMカードを用意して、PayPayで4万アカウントを登録したという。
PayPayは2019年夏ごろ、新規にアカウントを登録したユーザーには500円分の電子マネーを贈るキャンペーンを実施していた。
単純計算で、容疑者グループは、4万アカウントで2千万円分の電子マネーを入手できることになる。
さらに、ヤフオクに商品を出品し、自分で落札する架空取引を繰り返し、電子マネーを現金に替えたとされる。
2段階認証には複数の方法があるが、典型的なのはSMSを使う方法だ。
IDとパスワードを入れると、携帯電話にSMSで確認用のコードが届く。このコードを入力すれば、アカウントを開設したり、サービスにアクセスしたりできる。
IDとパスワードを知っていて、携帯番号に送られたコードを確認した人は、かなり高い確率で本人だろうと判断する仕組みだ。
●SMS認証の代行サービス
しかし、SMSに送られたコードを確認する人が、本人でないケースがある。
ツイッター上ではいまも、SMSを使う2段階認証を代行してくれるサービスに関する投稿を見ることができる。
たとえば、2020年10月8日に、こんな書き込みを確認した。
SMS認証代行 企業対応だから絶対的安心
070.080.090の番号なので国内サービス可能
ヤフオク 1000
メルカリ 1500
Gメール 1200
こうした認証代行には、通話機能がなく、データ通信のみに対応するSIMカードが使われることが多いという。通話機能のないSIMカードは、取得時に本人確認が義務付けられていない。
認証を代行してもらうと、何ができるのだろうか。
まず、最近は「特殊詐欺」とも呼ばれる、オレオレ詐欺に必要なIP電話の電話番号の取得に使われたケースがある。
当然ながら、詐欺の実行犯は身元を隠す必要があり、認証を第三者に代行してもらうニーズがあるのだろう。
6月には、2段階認証を代行したとして、代行業者が埼玉県警に逮捕されている。
通販業者が認証を代行してもらって、Amazonや楽天といったサービスのアカウントを大量取得すれば、ライバル業者の商品に、何人ものユーザーを装って繰り返し低評価をつけるといった使い方も想像できる。
10月5日付の朝日新聞によれば、埼玉県警は最近、2段階認証の代行業の宣伝をするツイッターの投稿者に対して直接返信し、やめるよう促しているという。
この連載の記事
- 第280回 データセンター建設ラッシュ 日本への投資が熱を帯びる3つの要因
- 第279回 ラピダスがシリコンバレー拠点を作ったワケ
- 第278回 日本円のデジタル化が近づいてきた
- 第277回 仮想通貨取引所の破たんで起きたこと。「史上最大」の詐欺、FTX創業者に禁錮25年
- 第276回 時価1.5兆円の掲示板サイト「Reddit」のビジネスモデル
- 第275回 仮想通貨が通貨危機の引き金に!?
- 第274回 公取委、アマゾンとグーグルに睨み 巨大IT規制の動き、日米欧で相次ぐ
- 第273回 ビットコインが急騰した3つの理由
- 第272回 サイバー犯罪集団LockBit、手口はビジネスさながら “ランサムウェア・アズ・ア・サービス(RaaS)”で企業を脅迫
- 第271回 楽天、5年連続赤字でもストップ高のワケ
- この連載の一覧へ