利便性の裏側には「狙われやすい」リスクがある
電子マネーは小銭を探す手間もなく、スマートフォンひとつで決済が完了する便利な存在として、多くの人に浸透してきている。今では現金を持ち歩く機会が減った、という人もいるだろう。
しかし、その利便性の裏側には、常に「狙われやすい」というリスクが潜んでいることを忘れてはならない。利用者が増えるほど、悪意ある第三者にとって格好の標的となる。また、フィッシング詐欺や不正利用の手口も巧妙さを増している。
怖いのは、利用者自身が「自分は大丈夫だろう」と油断してしまうこと。見慣れた公式サイトにそっくりの偽サイトに誘導され、IDやパスワードを入力してしまえば、残高や登録されたクレジットカード情報が一瞬にして盗まれてしまうリスクが有る。
便利な電子マネーだからこそ、安心して使うための備えが不可欠。パスワードの使い回しを避ける、二段階認証を設定する、利用明細をこまめに確認するといった心がけが、大きな被害を防ぐことにつながる。
多様化、巧妙化している手口に気をつけよう
便利な電子マネーが当たり前になったいま、その利便性を狙った詐欺手口も多様化、巧妙化している。
まず代表的なのはフィッシングだ。銀行や決済サービスを装ったメールやSMSから、偽サイトに誘導してログイン情報やカード番号を入力させる手口が多い。
登録情報が奪われると、残高やカードから不正に引き落とされる危険がある。また、キャッシュレス関連のなりすまし報告も少なくない。届いたメッセージの文面やリンク先のURLからログインせず(公式アプリかブックマークから開く)、送信元をしっかり確認する習慣を持ちたい。
QRコード決済を悪用した詐欺にも注意したい。店舗の決済用QRコードに上書きして別のコードを設置し、読み取ると詐欺業者に送金されるとう手法も報告されている。
支払い前に画面に表示される店舗名や支払先を必ず確認する、レジ周りで不自然に貼り替えられていないか注意する、可能なら店員に確認するなどの対策が有効といえる。
スマートフォンやPC自体に対するセキュリティ意識も高めておきたい。フリーWi-Fi(公衆無線LAN)を経由して通信を傍受されたり、偽アプリをインストールして情報を抜かれたりするケースも皆無ではない。
フリーWi-Fiでは決済操作やログインを控えることはもちろん、公式ストア以外からのアプリはインストールしない、アプリの権限を確認しておくが重要。
なお、利用明細や通知をオンにしておき、身に覚えのない取引があればすぐにサービス業者とカード会社に連絡するという心構えも大切になってくる。サービス側や事業者側も不正検知や利用限度の設定、即時通知の仕組みを強化している。通知は無効にしないことが、被害を早期発見するポイントになる。
不正な引き落としや心当たりのないチャージを見つけたら、速やかに決済事業者とカード会社へ連絡。最寄りの警察窓口にも相談しよう。被害の連絡だけでなく、メール、SMS、スクリーンショットなどを保全しておくのも、被害届や返金対応において重要になる。
今回は、McAfee Blogから「日本における電子マネー詐欺の手口とセキュリティ対策について解説」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
日本における電子マネー詐欺の手口とセキュリティ対策について解説:McAfee Blog
ほんのひと昔前までは、電子マネーと聞くと、「怪しい」、「胡散臭い」などという意見が多く、私達日本人にはあまり馴染みがありませんでした。しかし、ここ数年で電子マネーは急速に日本社会に浸透し、今では飲食店やコンビニエンスストアなどで当たり前のように使用できる決済方法として知られています。日本国内で電子マネーといえば、おなじみのSuicaやPayPayをはじめ、世界的に流通しているGoogle PayやApple Payなどが有名で多くの人々に支払い方法として重宝されています。ただ最近、これらの電子マネーを悪用した詐欺事件が多発しているのも事実です。今回は、日本国内における電子マネー事情をはじめ、電子マネー詐欺の具体的な手口やセキュリティ対策について紹介します。
電子マネーの仕組みと普及したきっかけ
電子マネーとは、インターネットによる情報通信技術を用いて電子データ化されたお金を使用した電子決済サービスのことです。同じインターネットを用いた電子決済サービスとしては、クレジットカードがあります。クレジットカードは、基本的に決済後の翌月に口座から引落される後払い型ですが、電子マネーの場合は代金がすぐに引き落とされる先払い型(プリペイド式)、即時払い型(デビット型)、後払い型(ポストペイ型)の3つの支払い方法があるのが特徴です。加えて、決済時の本人確認方法としては、クレジットカードは暗証番号やサインが求められますが、電子マネーの場合はICカード、または電子マネー専用アプリが入っているスマートフォンを専用端末にかざすだけです。このように電子マネーは、電子データ化されたお金をICカードやスマートフォンなどを通じてやりとりすることで、より効率的に決済できるようになり、使い勝手が良いと評判です。
日本で最初に導入された電子マネーは、2001年にJR東日本が発行した「Suica」といわれており、当時はソニーの最先端技術を導入した画期的なサービスとして注目を集めていました。その後、Suicaに似たICカードを使った電子マネーが続々と登場しました。日本国内で電子マネーが普及したきっかけは、店舗側の売上管理の効率化や決済時の簡略化、経済活動を推進させるため、企業が資産を正しく把握するなど様々な理由があります。特にインバウンド対策の中で電子マネーは、非常に有効的に利用されています。ご存じのように現代の日本は、景気の低迷をはじめ、少子高齢化などの理由で国内における消費の拡大が難しくなっており、その対策として海外からのインバウンド客を呼び込む観光立国を目指す動きが2000年代後半から始まりました。そして2010年以降、外国人観光客が爆発的に増加したこともあって、外国人向けの決済方法として電子マネーやQRコードなどキャッシュレス決済を導入する店舗が増えました。電子マネーはクレジットカードのような厳しい審査もないので日本人の利用者もどんどん増え続けており、今では日本は世界有数の電子マネー大国になりました。
近年、電子マネーの種類が大幅に増加
電子マネーには様々な種類があります。公共交通機関で使用できる交通系の電子マネーをはじめ、様々な種類の電子マネーがあります。以下は、現在日本国内で流通している主な電子マネーを種類別にまとめました。
交通系
・Kitaca(JR北海道)
・Suica(JR東日本)
・TOICA(JR東海)
・ICOCA(JR西日本)
・SUGOCA(JR九州)
・PASMO(首都圏の東京メトロや京急など)
・manaca(名鉄、名古屋市地下鉄)
・PiTaPa(阪急、阪神、地下鉄、京阪、近鉄、南海)
・はやかけん(福岡市地下鉄)
・nimoca(福岡県、佐賀県、大分県、熊本県、宮崎県などの乗り合いバスや市電、西鉄、北海道の一部地域)
・ANAペイ(全日空)
・JALペイ(日本航空)
流通系
・nanaco(セブン&アイグループ)
・WAON(イオングループ)
・楽天Edy(楽天グループ)
QRコード系
・PayPay
・d払い(NTTドコモ)
・楽天ペイ(楽天グループ)
・au PAY(KDDI)
クレジットカード系
・iD(NTTドコモ)
・QUICPay(JCB)
上記に加えて、Apple PayやGoogle Payの外資系電子マネーもありますが、これらは日本国内の複数の電子マネーと提携しているため、多くの店舗で使用可能です。
電子マネーを狙うサイバー犯罪の実情
現在、日本国内では様々な種類の電子マネーが増え続けていますが、それらを狙うサイバー犯罪も増加しているのが現実です。電子マネーは、インターネットを活用することで効率的に決済できる点が最大の魅力ですが、サイバー犯罪者達に悪用される危険があり、利用する際は十分注意しなければなりません。以下では、オフラインとオンライン上でそれぞれ電子マネーを狙ったサイバー犯罪の主な手口の事例を紹介します。
ICカードの物理的な盗難
SuicaなどのICカードで電子マネーを利用している場合、物理的な盗難には要注意です。ICカードが盗まれてしまうと、勝手に不正利用されてしまうだけでなく、個人情報も悪用されてしまう危険があります。また、過去には架空の名義で作成されたGoogleアカウント内のGoogleウォレットに不正入手された他人のクレジットカードを紐づけられてモバイルSuicaを作成され、不正利用された事例もあります。
支払い時に決済画面を偽造
店舗での支払いの際に、あらかじめ用意しておいた偽のQRコード決済完了のスクリーンショットを店舗スタッフに見せて商品を騙し取る手口も非常に多いです。犯罪者は、電子マネーで支払いを済ませたと店舗スタッフを欺いて、購入した商品を転売するなどして利益を得ます。
他人のQRコードを盗撮
店舗での支払いの際に他人の支払い用のQRコードを盗撮し、自身の決済時にそのQRコードを悪用するという手口があります。たとえ、店舗側がきちんと支払いを確認していても入金自体はされているので不正に気付かれにくいのが特徴です。
QRコード決済のステッカー詐欺
この手口は、店舗で表示されているQRコードの上に偽のQRコードのステッカーを物理的に貼り付けることで、代金を支払う際に第三者に不正送金させます。
ポスティングチラシのQRコード
各マンションへ配布されたポスティングチラシを悪用する手口もあります。過去には、「家賃支払いがオンライン化されました」という偽のチラシを配布し、掲載されたQRコードから電子マネーによる支払いを促して騙し取るという事件がありました。
出会い系詐欺
出会い系サイトやマッチングアプリを使って相手に接触し、金銭を要求して支払い後は相手をブロックするなどして連絡を絶ち、持ち逃げするという手口も少なくありません。この類の詐欺は、ターゲットの恋愛感情などをうまく悪用し、電子マネーで支払わせようと誘導してきます。
フィッシングメール
Amazonなど大手企業を謳った偽のメールを不特定多数に送るフィッシングメールは昔からある詐欺の手口です。特に最近は、電子マネーによる送金を促している場合が多い傾向があります。サイバー犯罪者達は、「アカウントを停止します」や「裁判になる可能性がある」などという利用者の気を引く文言を使って電子マネーによる支払いを促します。
マルウェアなどを悪用してアカウントを盗む
お使いのパソコンやスマホなどにマルウェアなどを侵入させて、電子マネーのアカウントを盗むというサイバー犯罪は非常に多いです。電子マネーのアカウントが盗まれてしまうと不正利用されたり、アカウント自体がダークウェブ上で転売されるなどし、二次被害を被ってしまう可能性があります。さらには、電子マネーのアカウントだけでなく、他の個人情報も漏洩してしまう危険もあります。
返金処理を謳った詐欺
ECサイトで返金処理を謳う詐欺も横行しています。流れとしては、まず通販サイトで電子マネーを使って商品を購入後に「在庫がないので返金します」と連絡がきます。その後、返金手続きとして送られてきた偽のQRコードから返金コードを入力すると、入力したコードと同じ金額が送金されてしまい、騙し取られてしまうという手口です。また、ECサイト自体が偽サイトで、電子マネーで支払いを済ませて商品を発送しなかったり、決済情報や個人情報を盗むという手口も少なくありません。
ウイルス感染を謳った詐欺
パソコンを利用している際に突然、「お使いのデバイスはウイルスに感染し、個人情報が流出した可能性があります。至急、カスタマーサポートセンターにお問い合わせください。電話番号××××-××××」という偽の警告が画面に表示されます。カスタマーセンターに問い合わせをすると、復旧するための修理費用を請求され、支払い方法としてコンビニエンスストアでAmazonなどのプリペイド型電子マネーのギフトカードの購入を促されます。購入した電子マネーのID番号を教えてしまうと犯罪者に渡ってしまい、取り戻せなくなります。犯罪者は、このID番号を使って商品券などを購入、転売するなどして現金化します。
架空請求詐欺
有料動画サイトの閲覧や各料金未納などの架空請求を謳って、上記のウイルス感染詐欺と同じようにコンビニでギフトカードを購入させて電子マネーのID番号を要求する手口も後を絶ちません。これらの場合、金額は数千円から数万円ほどと決して高額ではないため、詐欺と疑わずに購入してしまう人が続出しています。
オンラインゲーム内での詐欺
オンラインゲーム内でターゲットに接触し、アイテムなどを販売すると謳って電子マネーで決済させてだまし取る事件も多いです。主な手口としては、PayPayなど多くの日本人が利用している電子マネーを使って先払いをさせ、入金確認後に商品を渡さないで相手をブロックするという手口です。
以上の手口は近年、組織的な犯行が増えており、日本政府や警察も様々な対策を講じているものの、次々と新しい手口の犯罪が発生するため、全てを把握するのは非常に難しい状況となっています。
電子マネーを守るためのセキュリティ対策
上記で紹介した通り、最近の日本ではサイバー犯罪者によって様々な手口で電子マネーが狙われています。電子マネーは、現金よりも使い勝手が良い反面、犯罪者にとって好都合なターゲットになっているのも事実です。こちらでは、電子マネーが悪用されるなどの被害に遭わないためのセキュリティ対策をいくつか紹介します。
不審なメールや警告画面は無視する
最近、大手企業を騙った本物とそっくりのフィッシングメールが非常に多く、見分けがつきにくいのが難点です。見に覚えのない不審なメールは、マルウェアなどを含むフィッシングメールの可能性が高いため、基本的に無視することが賢明です。もし、お使いのデバイスの画面にセキュリティ警告が表示された場合も偽物の可能性が高いため、基本的には無視しましょう。特にこれらの類の表示にサポートセンターの電話番号が明記されている場合は詐欺の可能性が限りなく高いです。
VPNは常に接続する
VPN(仮想プライベートネットワーク)は、接続することでインターネット通信内容を暗号化するため、不特定多数が利用するカフェや公共機関などのセキュリティ面が脆弱なフリーWi-Fiを使用する際の使用を推奨されています。ただし、現代では自宅や外出先問わず、あらゆる危険が待ち受けているので、電子マネーの利用時に限らず、できるだけ常に接続することが賢明です。
電子マネーで決済する際は周囲を確認する
店舗での決済時に読み取り可能なQRコード決済を利用する場合は、背後などからQRコードが盗撮されてしまう危険があるため、利用の際は必ず周囲を確認するようにしましょう。
遠隔でロックできるように設定する
万が一、スマホを紛失、盗難に遭った場合、電子マネーを含むスマホ内の個人情報を抜き取られてしまう危険があります。被害に遭わないためにもスマホをリモートでロックできるように設定しておきましょう。また、スマホが盗まれた場合、犯人を追跡するために事前に追跡アプリの設定をしておくことも必要不可欠です。
2段階認証、または多要素認証を導入する
サイバー犯罪者は、オンラインサービスの暗証番号など認証情報を狙っています。オンライン上、または物理的にそれらの情報を盗み見られてしまうと電子マネーや個人情報が盗まれてしまう危険があります。これらの被害を未然に防ぐためにも認証の際に2段階認証や多要素認証を導入することを推奨しています。もし、サイバー犯罪者にログインするためのIDとパスワードを知られてしまっても、指紋や顔による生体認証設定さえしていれば、悪用される可能性は限りなく低くなるでしょう。
店舗側の決済完了画面を確認する
通常、店舗でQRコード決済をした場合、店舗側のQRコード読み取り機器のほとんどで決済完了画面が表示されます。しかし、機器に偽のQRコードステッカーが貼られていた場合は、店舗側で決済完了画面が表示されません。トラブルを避けるためにも自分のスマホの決済完了画面だけでなく、店舗側のQRコード読み取り機器の決済完了画面を必ず確認するように心がけましょう。
不審な決済履歴がないか定期的に確認する
電子マネーは、本人が知らないうちに悪用されている場合があります。最近の傾向としては、多くの人が気づきにくい少額の被害が多く、気づいた時には大金を失っているなんてこともあるため、そのような状況にならないためにも、怪しい決済履歴がないか定期的に確認することが大事です。また、電子マネー利用時にすぐにスマホに通知が来るように設定しておきましょう。
セキュリティ対策ソフトを利用する
電子マネーだけに限らず、オンライン上のセキュリティを高めるためには、優れたセキュリティ対策ソフトを導入することが重要です。なかでもマカフィー社が提供しているマカフィー+は、ウェブサイトへアクセスする前に安全度を色分けし、マルウェアやフィッシングサイトを事前に特定できるウェブ保護機能をはじめ、SMS内の詐欺リンクを検知するマカフィー詐欺SMS検知機能など優れた機能によって、お使いのデバイスと電子マネーを保護します。
まとめ
今回は、電子マネーの種類や普及したきっかけを紹介するとともに、電子マネーを狙ったサイバー犯罪の手口例、それらを防ぐためのセキュリティ対策について解説してきました。電子マネーは、現金に変わる新しい決済手段であり、現金よりもスムーズに決済できる方法として急速に浸透しています。しかし、電子マネーはサイバー犯罪者の格好のターゲットともなっており、次々と新たな手口の犯罪が起きているのも事実です。お使いの電子マネーを悪用されないためにも上記で紹介した手口を把握しつつ、各セキュリティ対策を積極的に取り入れることをおすすめします。特に電子マネーは、スマホで利用することが多いため、それらのデバイスを保護するためにはマカフィー+などの優れたセキュリティ対策ソフトを導入することが必要不可欠といえます。万が一、電子マネーが悪用されてしまった場合、運営会社が補償してくれることもありますが、なかには補償されない場合もあるので、被害に遭う前に各個人がセキュリティ対策をしっかりと実施することが大切です。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
