フリーワード検索


タグ検索

  • 注目キーワード
    業種
    目的・課題
    専門家
    国・地域

NRI トップ NRI JOURNAL キャッシュレス決済のセキュリティリスク

NRI JOURNAL

未来へのヒントが見つかるイノベーションマガジン

クラウドの潮流――進化するクラウド・サービスと変化する企業の意識

キャッシュレス決済のセキュリティリスク

NRIセキュアテクノロジーズ 田中 大貴

#サイバーセキュリティ

2021/12/07

クレジットカードやスマートフォンをかざして決済を行う電子マネーや、QRコードを用いる「○○Pay」といったサービスが広まり、キャッシュレス決済は身近な存在となりつつあります。ただ、こうしたサービスには不正利用のリスクも潜んでおり、場合によってはサービスを提供する事業者に莫大な損害やブランドの毀損等のダメージが生じることもあります。具体的にどのようなリスクがあり、サービス提供者がどう対策を講じるべきかなどについて、NRIセキュアテクノロジーズ(NRIセキュア)の田中大貴が解説します。

サービス設計の甘さが不正利用につながる

クレジットカードや電子マネー、QRコードなどを用いたキャッシュレス決済は着実に私たちの生活に定着しつつあります。実際、2020年度の日本の個人消費に占めるキャッシュレス決済の割合は29.7%で、前年から2.9ポイント上昇する結果となりました。このキャッシュレス決済において大きな伸びを見せているのがQRコード決済で、2019年度は0.3%に過ぎませんでしたが、2020年度は1.1%と4倍近く伸びています。 (参考:日本経済新聞「キャッシュレス決済、20年29.7%と最高 なお海外に遅れ 」

このキャッシュレス決済にはさまざまな種類がありますが、特にスマートフォンを利用するサービスの場合、スマホアプリを通じて決済するものが主流となっています。こうしたサービスを提供する際、事業者として気をつけなければならないのはスマホアプリへの不正ログインです。近年の犯罪傾向を見ていると、このスマホアプリに第三者が不正ログインして決済するケースが増えており、セキュリティ上の課題となっています。

このような不正が発生する背景として挙げられるのが、サービス設計の甘さです。特に気をつけたいケースとして、自社の会員向けなどに提供している既存のアプリに、決済サービスの機能を付加する場合が挙げられます。たとえば、ユーザーIDとパスワードでログインし、ポイントの管理や購入履歴が参照できるアプリは少なくありません。こうしたアプリに対し、単純に決済機能を付加してしまうと、IDとパスワードが分かっただけでサービスにログインして不正に決済することが可能になってしまいます。

このような不正利用の対策としてまず考えられるのは、ユーザーIDとパスワードに加え、スマートフォンのSMS(ショートメッセージサービス)をユーザー認証に利用するなど、認証を多要素にする形です。これは事前に登録された電話番号に対し、一定時間だけ有効なワンタイムパスワードをSMSで送信するというもので、正しく入力されればその電話番号が紐付いたスマートフォンを持っていることを確認できます。

ただ簡単に電話番号が変更できてしまうと、悪意のある第三者にSMS認証を突破されるリスクが高まるほか、それ以前は電話番号を登録せずにサービスを利用できていた場合、新たに電話番号を登録してもらう負担をユーザーに強いることになります。こうしたことも考慮しつつサービスを設計しなければなりません。

注意したいポイント還元やキャンペーンの不備

ポイント還元の不備を突いて、不正が行われるケースも散見されるため注意が必要です。一例として、商品を購入したユーザーに即時ポイントを付与し、そのポイントが使われてしまった後に返品されるといったものがあります。ポイントを付与する際には、こうした不正も視野に入れる必要があるでしょう。

キャンペーンに不備があり、損失が発生してしまうケースもあります。例えばサービスへの入会と同時に1,000ポイントをプレゼントするというキャンペーンに対し、架空のユーザー名で何人分も入会し、ポイントをだまし取る手口が挙げられます。キャンペーンを設計する際にも、悪用につながる抜け穴がないかを確認することは重要です。

攻撃者はこうしたサービスを調べ上げ、不正利用ができる抜け穴がないかを探しています。この抜け穴は、例えばサービスを提供しているサーバーへの不正アクセスなどといったものだけではありません。ここまで紹介してきたように、サービスそのものに残る弱点を利用します。こうした抜け穴を塞ぐためには、何よりもサービスの企画段階からセキュリティを意識しておくことが重要です。

ユーザー目線も踏まえてセキュリティ対策を考える

決済サービスなどのセキュリティ対策を検討する際、まず取り組みたいのは自社で提供しているサービス、あるいはアプリの詳細な把握です。特に既存のアプリに決済機能を追加する場合には、現状のアプリにどのような機能があるのか、ユーザーをどのように認証しているのかなど、要素ごとに分解して把握することがまず重要です。そこで足りないものがあれば、新たな仕組みの導入などを検討するなど、最終的に不正利用を防ぐための取り組みを進めていきます。

実際に決済サービスを提供する際には、ユーザーに安心感を与えることが何よりも重要です。そのためには、セキュリティ対策を適切に導入することに加え、ユーザーの理解と納得を得なければなりません。ただ、あまりにセキュリティを強固にし過ぎると、ユーザビリティが低下し、ユーザーに不便を強いることになります。そのため、ユーザー目線を意識しつつ適切な対策を講じていくことが大切です。

NRIセキュアでは「電子決済セキュリティリスクサービス」を提供しており、ユーザビリティの観点も視野に入れつつ、本人確認や認証方式、チャージや決済といった各機能の評価、さらに連携システムや運用体制にまで踏み込んでセキュリティ強化を支援しています。決済サービスの提供を検討している、あるいは既存のサービスに不安がある場合は、ぜひご相談ください。

  • Facebook
  • Twitter
  • LinkedIn
NRIジャーナルの更新情報はFacebookページでもお知らせしています

お問い合わせ

株式会社野村総合研究所
コーポレートコミュニケーション部
E-mail: kouhou@nri.co.jp

NRI JOURNAL新着