モバイル決済やデジタルウォレットは安全なのだろうか。クレジットカードよりも安心して使えるのだろうか。 主要なリスクは何なのだろうか。本記事では、これらの疑問について解説したい。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
現金による決済が今すぐになくなることはないが、ここ数年、電子決済ソリューションは着実に人気を高めてきた。米国連邦準備銀行の調査によると、あらゆる決済手段の中で現金はわずか26%に過ぎない。一方、クレジットカード・デビットカード・電子決済は、全体の65%にも上る。
新型コロナウイルス感染症の拡大は、人々の買い物の仕方にも変化をもたらした。感染の広がりを抑えるため、政府が人同士の接触を制限したり、外出自粛によってオンラインショッピングをする人が増えたため、Eコマースの需要が急激に増加している。
利便性の向上に伴い、キャッシュレス決済やオンラインショッピングの急増、そしてスマートフォン(以下、スマホ)の普及により、モバイル決済の普及が進んでいる。Apple Pay、Google Pay、PayPal、Venmo、WeChat Payは、主要なモバイル決済アプリとして認知されるようになった。しかし、モバイル決済アプリには特有のリスクがあり、詐欺に悪用される危険性もあるのだ。
モバイル決済アプリのリスク
モバイル決済アプリに焦点をあてた場合、当然ながら最大のリスクはスマホを紛失することである。スマホには多くの個人情報が保存されており、さらに、決済アプリにはその支払い情報も登録されているからだ。スマホを適切に保護していなければ、犯罪者はカードを不正に使用したり、決済アプリで自由に買い物ができてしまう。加えて、銀行口座から全額引き出されたり、残高以上の支払いが課されることになれば、銀行からの信用格付けを損ねてしまい、将来、融資や住宅ローンを組むのが難しくなる可能性もある。
スマホはパソコンなどの機器と同様にマルウェアに感染するリスクがある。マルウェアはその種類に応じて、異なる不正な挙動を見せる。例えば、キーロガーはスマホ上でのタップを記録し、犯罪者へ送信することができる。結果、犯罪者はパスワードや決済アプリにアクセスするためのアカウント情報を不正に取得できてしまう。あるいは一見、利便性の高い別のアプリになりすました偽のアプリを利用させ、決済アプリを攻撃する方法も考えられる。一つの例として、ESET社の研究者が発見した、バッテリー最適化ツールに偽装したトロイの木馬が挙げられる。これは、PayPalアプリユーザーを標的にし、攻撃者のアカウントへ1,000ユーロ(約13万円)を振り込むよう仕向けるものだった。
詐欺に遭わないためには
犯罪者はスマホを直接盗んだり、マルウェアに感染させたりするのに加え、預金残高を狙う基本的な手法としてサイバー攻撃も用いている。
標的の知人になりすまし、緊急事態だからと助けを求めるなど、他の詐欺の手法と基本的に似ている。攻撃者は標的の連絡先リストにアクセスし、モバイル決済アプリを使って送金したことのある人になりすますこともある。
犯罪者は、よく用いられる詐欺の手法を悪用する場合もある。標的と関係を築くためにマッチングアプリを使用し、信頼関係が得られたところで、病気の治療費などを理由にして、相手からお金をだまし取ろうとするのだ。
宝くじの当選詐欺も、よくある手法だ。標的は多額の当選金を得たと知らされるが、それを受け取るためには手数料を支払う必要があるというものだ。もちろん購入してもいないし、存在もしない宝くじから高額な当選金を受け取ることはできず、取引手数料が払い戻されることもない。
さらに、詐欺師がモバイル決済アプリを運営する企業になりすましたフィッシング攻撃も存在する。詐欺師たちは、複製した偽のWebサイトからアカウント情報を不正に取得するよう標的を誘導し、詐取した場合は預金を全て使い込んだり、ダークウェブ上でログイン情報を売買する。
もう一つの脅威として、ユーザーの管理画面に直接表示される送金要求のポップアップも報告されている。これらの送金要求を誤ってタップしてしまった場合、指定された金額で、犯罪者への送金要求が直ちに実行されてしまうのだ。
モバイル決済アプリを安全に使う方法
自分自身と、苦労して稼いだお金を守るために実施するべき最初の対策としては、スマホで利用できる、あらゆるセキュリティ対策を活用することだ。これには、生体認証(顔認証、虹彩認証、指紋認証)と、コードによる認証の組み合わせが含まれる。この設定を行えば、アプリにアクセスする際や何らかの商品を購入する際に本人確認を行う必要があるため、認証を突破して決済アプリを悪用するのが難しくなる。ただし注意事項として、国によって、ある金額以下の決済については、本人確認・認証が必要とされない場合がある点は指摘しておきたい。
また、AndroidもiPhoneも「電話を探す」機能が提供されている。この機能を利用すれば、スマホが盗まれたり、失くしたりした際に、遠隔でスマホを無効化するか、あるいはデータを消去できる。
加えて、多くの決済アプリは、二要素認証(2FA)などのセキュリティ機能も利用できる。もしまだ利用していなければ、今すぐこれらの機能を有効化すべきだ。生体認証やコードによるロックを含めたセキュリティ機能を用いることで、アプリ自体やアプリ内での取引を保護できるようになる。また、取引や決済が行われた際には通知が送られるよう設定しておこう。疑わしい取引が発生した際に、その通知を受け取れるからだ。
金銭を狙う悪意のあるアプリをダウンロードしたり、他のアプリになりすました不正なアプリをインストールしたりしないよう、導入するアプリは常に精査しなければならない。よくある対策としては、アプリに付与する権限を確認する方法が挙げられる。
最後に、多くの脅威から自分自身を守り、悪意のある行為を未然に防ぐためにセキュリティソフトを利用するのも忘れてはならない。十分な機能を持ったセキュリティ製品であれば、銀行のアプリや決済アプリを保護する機能が提供されている。
ESETの研究者による考察
ESET社のマルウェア研究者Lukas Stefankoによると、モバイル決済アプリにはリスクがあるものの、その他のアプリよりは安全である。
Stefanko氏は「Apple PayやGoogle Payといったサービスは、クレジットカードによる非接触決済に比べ、やや安全性が高い。実際のクレジットカード番号を売り手に開示しない代わりに、取引ごとに生成される仮想的なアカウント名を提供するからだ。」と述べている。同氏は追加のセキュリティ対策として、スマホに登録されたカード情報を悪意のある攻撃者から守りたい場合、スマホのNFC(近距離無線通信)を常に無効化しておくことも推奨している。