QRコードは、キャッシュレス決済の決定打なのか？　簡単に取引できるということは、簡単に偽造されてしまうかも

先日、このブログでQRコードを推し進めたいお役所や政府の話をブログにしました。

・現金を取り扱いたくない銀行
・現金取引を減らして国民のおカネの流れを博したい国税局
・おサイフケータイ（FeliCa）が、普及するには、機材が必要
・QRコードならば、お店に特別な機器がなくても、キャッシュレス決済ができる。
・QRコードならば、参入するのにハードルが低い。

いろいろな思惑もあって

おサイフケータイ（FeliCa）というものが、スマートフォンに搭載されているにもかかわらず
QRコード決済という全時代的な決済方法に名乗りを上げる企業が続出しています。

今回のIT小僧の時事放談は、
QRコードは、キャッシュレス決済の決定打なのか？　簡単に取引できるということは、簡単に偽造されてしまうかも
というタイトルで小難しい話をわかりやすく解説しながらブログにしました。

最後まで読んでいただけたら幸いです。

スポンサーリンク

QRコードは、キャッシュレス決済の決定打なのか？

QR決済について先日ブログにまとめたのですが、新たな動きが出てきました。

経済産業省は、新たなキャッシュレス普及策として、地方の鉄道やバスなどの料金支払いを統一規格の「ＱＲコード」決済で行えるようにする検討を始めた。実現すれば、事業者の違う交通機関でも、スマートフォンで簡単に運賃を支払えるようになる。税の納付や病院での医療費支払いなどを可能にする仕組み作りも視野に入れる。
地方の金融機関が現金自動預払機（ＡＴＭ）などを減らす中、現金を下ろさなくても生活できる環境づくりを目指す。

中略

ＪＲ東日本の「Ｓｕｉｃａ」や首都圏の私鉄各社の「ＰＡＳＭＯ」といった交通系電子マネーは、既に普及が進んでいる。しかし、資本力の弱い地方の交通事業者がこれらのカードを利用可能にするには、費用負担の大きさが課題だ。その点ＱＲコードは、利用者自身のスマホを活用するため、設備投資コストを大幅に圧縮できる。
時事ニュース　10/20 より抜粋

このニュースを読んで

現在、多くの企業が、自社のQRコードを登場させて普及させようとしているのに
また、新しいQRコードを登場させるのでしょうか？

スマートフォンで簡単にと言っていますが、QRコードの支払い方法は、スマートフォンの画面上に表示さえているQRコードを読み取る方式か
それとも　QRコードを紙などに印刷して、それを各人のスマートフォンで読み込みのでしょうか？

「支払い側のスマートフォンの画面に表示されているQRコードを読み取る方式」
だった場合、QRコード読み取り機器が必要になりますが、その機械は、誰が支払うのでしょうか？

「QRコードを紙などに印刷して、それを各人のスマートフォンで読み込む方式」
ならば、できそうですね。
QRコードを支払う人がスマートフォンで読み取って金額を入力
これならば、設置費用は、店ごとにQRコードを印刷した紙があればOKなので　設置端末も必要ないし実現できそうですね。

こちらが一番実現可能そうですね。

スマートフォンのアプリはダウンロードすれば解決だし、店舗ごとにQRコードの紙を印刷して読み取ってもらえばOKですからね。

こちらの方式ですよね「経済産業省」さん。

お役所が、理想を掲げて目指すのは、かまいません。

では、誰が、この全国統一したQRコードを取り決めて実現させるのでしょうか？
税金を使うことが前提？

dポイント　不正利用

dポイントはドコモの通信料や加盟店での買い物の支払いなどに使える共通ポイントサービスで、商品やサービスを購入する時に100円または200円の支払額ごとに1ポイントが貯まる仕組みになっている。
溜まったポイントは、1ポイント1円相当で支払いに使えます。

2018年8月　docomoが始めたQRコード形式の「dポイント」で不正利用が発覚しました。

経緯

2018年8月、ユーザーからdocomoへ

「dポイントを使っていないのに利用履歴がある、不正利用があるのではないか？」

このような書き込みがTwitterなどSNSで目立つようになってきました。

2018年8月25日頃
docomoが問い合わせを調査開始

2018年8月30日
ドコモはWebサイトでdポイント利用者に注意を呼び掛け、被害に遭ったユーザーへの聞き取り開始
原因の調査を進める。

2018年8月25日～9月12日の間
約300件の不正利用と思われるデータを発見
被害金額は、「利用者が被害を申告した分だけで数百万円」申告以外の分もあるのでさらに増える可能性もあった。

ポイントを不正使用された加盟店に不正アクセスがあったことも判明

2018年9月10日
不正アクセスがあった加盟店が、パスワードを強制リセット

2018年9月13日
不正アクセスがあった加盟店で再度不正利用が発生

2018年9月14日
不正アクセスがあった加盟店「dポイントカードサービス」停止

2018年10月1日
不正アクセスがあった加盟店のサイトで2段階認証を取り入れて、セキュリティ強化

今は、問題なく使えるようになりました。

どうやったのか？

ポイントを店舗で支払うには、２つの方法があります。

1. 「dポイントカード」に印刷されたバーコードを提示、レジでポイントで支払う。
2. 公式のスマートフォンアプリでバーコードを表示して提示、レジでポイントで支払う。

ここからは、推定の話です。

犯人は

1. 加盟店に不正アクセスをもとに「dポイント」で使用されている15桁の番号を取得
   取得した方法は不明
2. 15桁の番号を使ってQRコードを作成、スマートフォンに表示
3. レジでQRコードを読み込み　ポイントを使用して支払い完了

ここで注意したいのが、15桁の番号がわかれば、QRコードを作成できてしまうということです。

他のサービスではどうなっているのか？

ポイント支払いといえば「Tポイント」と「楽天スーパーポイント」ですが、こちらは、スマートフォンで利用するときは、「ワンタイム方式のコード表示」になっていて、アプリを起動後一定時間だけしか使えないコードになっているので、番号を入手してQRコードなどを作成しても「不正に使えない」仕組みになっています。

「ワンタイム方式のコード表示」とは、使用する時にコードなどを作成してそのタイミングでしか使えない仕組みになっている。一定時間が過ぎたらそのコードは使えなくなります。
つまり、正式なアプリでしか支払いができないということになります。
最近は、銀行などのオンライン取引でも利用されています。

まとめ

QRコードは、オープンな仕様なため、中身が分かってしまったら同じものを作成することができます。
デジタルなものなので本人かどうかの判定は難しく、使用する時にパスワードや指紋、iPhoneのような顔認証を再度行うしかないのかも知れません。

「簡単に取引できるということは、簡単に偽造されてしまう」
ということを念頭に置いてシステムを構築する側も使う側も注意が必要になっていると思います。

スポンサーリンク