コロナ禍の影響もあり、キャッシュレス決済やネットショッピングが急増し、さまざまなスマホ決済アプリが利用されるようになりましたが、スマホ決済アプリを利用する際にはどんなリスクに注意すべきでしょうか?スマホ決済アプリを利用する際のリスクや安全に利用するための対策をまとめ、マルウェアアナリストからのアドバイスを紹介します。
本記事はESET Japanが提供する「ESETブログ」に掲載された「スマホ決済アプリ:スマートフォンでの支払を安全にする方法」を再編集したものです。
現金取引は今すぐに無くなるわけではありませんが、利便性の高い電子決済ソリューションは、ここ数年、着実に人気を高めています。米連邦準備制度理事会(FRB)が最近実施した調査によると、現金での支払いはすべての取引のわずか26%で、一方、クレジットカードやデビットカード、電子決済の利用は全体の65%を占めています。
新型コロナウイルスのパンデミックは、ショッピングにも変容をもたらしました。政府が感染拡大を抑えるために不要不急の外出を制限し、感染を避けるために自主的に外出を控える方も多くなり、買い物のほとんどのオンラインで済ませるようになり、eコマースの需要が急増しています。
その高い利便性から、キャッシュレス決済とネットショッピングの両方が急増し、オンラインショッピングにスマートフォンを利用するようになったことで、さまざまなモバイル決済方法が導入されました。これらの中でも、Apple Pay、Google Pay、PayPal、Venmo、WeChat Payは、特に人気のあるモバイル決済アプリです。しかし、スマホ決済アプリにも固有のリスクがあります。サイバー犯罪者は、詐欺にこれらの決済アプリを悪用しようとしています。
リスク
スマホ決済アプリを利用するときの最大のリスクの1つは、スマートフォンデバイスの紛失です。決済アプリを使用している場合、機密情報や決済データの大半はスマートフォンに保存されていますので、スマートフォンを紛失するとこれらのデータも失うことになります。適切なセキュリティ対策を講じていなければ、犯罪者がユーザーのカードを不正に利用したり、決済アプリを使用して買い物をしたりする恐れがあります。銀行口座の預金がゼロになったり、負債が増加したりするだけでなく、銀行の信用も失い、将来的に住宅ローンなどの借入が困難になる可能性もあります。
スマートフォンも、他のコンピューティングデバイスと同様に、マルウェアに感染する可能性があります。マルウェアのタイプによって、実行される悪意のある操作が異なります。たとえば、キーロガーは、スマートフォンユーザーのタップ操作を記録し、サイバー犯罪者に送信することができます。これにより、パスワードや決済アプリにアクセスするアカウントの認証情報を盗み出すことができます。あるいは、別のアプリを偽装したフェイクアプリを展開し、決済アプリを攻撃する場合もあります。ESETの研究者は、バッテリー最適化ツールに偽装したトロイの木馬を検出しています。このトロイの木馬は、被害者のPayPalアカウントを標的とし、攻撃者が管理しているアカウントに1,000ユーロ(約1,200米ドル)を送金しようとします。
実環境で悪用されているAndroidトロイの木馬
詐欺への対策
サイバー犯罪者は、スマートフォンを直接盗んだり、マルウェアを侵入させようとしたりするだけでなく、財布の中身を奪うために、昔ながらの方法でサイバー詐欺を実行することもあります。
このような詐欺では、知り合いになりすましたり、緊急を要する問題について助けを求めたりするなど、一般的な詐欺と同じような手口が多く使用されます。サイバー犯罪者は、ユーザーの連絡先リストにアクセスして、スマホの決済アプリで過去に送金したことがある相手になりすましている可能性もあります。
サイバー犯罪者は、一般的な詐欺行為にも手を出す場合があります。出会い系アプリを使用して、知り合いになり、入院費用を請求されているなどのさまざまな理由を挙げて、金銭をだまし取ろうとする場合もあります。
宝くじ詐欺もまた、詐欺師の常套手段です。標的になったユーザーには、巨額の賞金を獲得したという通知が送られますが、賞金を請求するための手数料が要求されます。もちろん、宝くじを買っていないので、この架空の賞品を受け取ることはできませんし、この「手数料」も戻ってくることはありません。
次に、詐欺師がスマホ決済アプリの運営会社になりすますフィッシング攻撃があります。詐欺師が偽装したサイトは、ユーザーを騙してアカウントの認証情報を入手して、口座にある預金をすべて引き出したり、ログイン認証を地下市場で販売したりしようとします。
もう1つの脅威は、 ユーザーのアカウントに直接ポップアップ表示され、金銭を要求するスパムです。ユーザーがうっかりこれらの要求をタップすると、即座に要求された金額が詐欺師に送金されてしまいます。
自分の身を守るために
自分自身と、苦労して稼いだ大切な資産を守るために行う最初の防衛方法は、スマートフォンで利用できるすべてのセキュリティ対策を有効にすることです。生体認証ロック(顔認証、網膜認証、指紋認証)とロックコードの組み合わせを使用することなども有効な対策です。一度これらの対策を有効にすれば、取引や何かを購入するときに本人確認が必要になりますので、スマートフォンに不正に侵入したり、決済アプリにアクセスしたりすることが困難になります。AndroidでもAppleデバイスでも、スマートフォンを探す機能を利用できます。この機能を使用すると、スマートフォンを紛失したり、盗まれたりした場合に、リモートからスマートフォンを無効にすることができ、完全にデータを消去することもできます。
多くの決済アプリでは、二要素認証などの追加のセキュリティ機能をオンにすることもできます。二要素認証をまだ有効にしていないのでしたら、すぐに有効にしましょう。また、生体認証やコードロックなどの追加のセキュリティ対策を使用してアプリをロックすることもできます。トランザクションでも、これらの対策は有効にできます。また、取引や支払いが実行されたときに通知が来るように設定しておきましょう。こうしておくと、不審な操作があった場合に、(ほぼ)リアルタイムでアラートが表示されます。
ユーザーの資産を狙う悪意のあるアプリをダウンロードしないようにするためには、別のアプリに偽装した詐欺アプリをインストールしないように注意して精査してください。また、アプリから求められる権限も、すべて見直しておくと良いでしょう。
最後に伝えたいことは、多くの脅威から身を守り、悪意のある操作を防止するために、スマートフォン用のセキュリティソフトウェアを活用することを検討することです。豊富な機能を実装しているセキュリティ製品には、銀行アプリや決済アプリを保護する支払保護機能が実装されており、セキュリティをさらに強化できます。
マルウェアアナリストからのアドバイス
スマホ決済アプリを使用する場合にはリスクもありますが、ESETマルウェア研究者の Lukas Stefankoはアプリの中でもリスクが低く比較的安全に使用できるものがあると述べています。
「Apple PayやGoogle Payなどのサービスを使用することは、非接触型決済機能があるクレジットカードを使用するよりは安全です。なぜなら、これらのサービスは実際のクレジットカード番号を加盟店に提供するのではなく、支払ごとに生成される仮想のアカウント名のみが提供されるためです。」
また、Stefankoは、追加のセキュリティ対策として、スマートフォンで読み込んだカードが、近くにいるハッカーに悪用されるのを防止するために、近距離無線通信(NFC)をオフにして安全性を向上できると述べています。