続くQRコード肩越しスキャン窃盗。問題は商店側アプリの本人確認の甘さ

スマホ決済のQRコードを表示したままレジ待ちをしている間に、背後から肩越しにスキャンをされて、お金が盗まれるという犯罪が続いている。この犯罪が防止できないのは、商店側のアプリの本人確認が甘いことに原因があると、新京報網が報じた。

性能が上がったスマホカメラで、QRコードを肩越しスキャン

中国でレジに並んでいる人の背後から、QRコードをスキャンしてお金を盗むという事件が続いている。QRコード方式のスマホ決済の問題は、QRコードを表示するのに手間がかかるということだ。そのため、レジに並んでいる最中にスマホを操作して、あらかじめQRコードを表示しておく人が多い。この時に、肩越しにQRコードをスキャンしてお金を盗むというわけだ。

スマホのカメラ性能が向上したことがひとつの要因になっていて、あるテレビ番組が実験をしたところ、10m離れたQRコードをスマホのカメラで読み取れることがわかり、話題にもなっている。

f:id:tamakino:20190815113946p:plain

▲スーパーのレジ待ち時にQRコードを表示しておくと、背後から肩越しスキャンされて、お金が盗まれるという事件が相次いでいる。

本人確認をしないと利用できない商店側専用スキャンアプリ

この時使われるのが「銭方好近」というアプリだ。これは商店側が使うアプリで、QRコードを読み取れば、それが「アリペイ」「WeChatペイ」「ユニオンペイ」などのいずれのQRコードであるのかを自動判別して、決済を完了してくれるというもの。いちいち決済の種類を尋ねる必要もないことから、小規模商店では同様のアプリが広まり始めている。

しかし、このような決済アプリは、スマホ決済の資金を盗むためにも使われる可能性があるために、アカウント登録をするには、店舗の情報などを入力し、店主の身分証の写真を送る必要がある。本人確認をしっかりと行い、商店主に限定することで、犯罪に利用されることを防ごうとしている。

他人の身分証を使って、違法登録

4月下旬に、重慶市のスーパーで、レジに並んでいた4人の客が500元（約7500円）から900元（約1万3500円）のお金を盗まれるという事件が起きた。犯人はこの「銭方好近」を使っていた。どのようにして、犯人がアカウントを開設したかを、重慶市公安が捜査したところ、あるコンビニで、店主が自分の身分証をカウンターの上に置き忘れてその場所を離れた隙に、犯人はその写真を撮り、そのコンビニの店主の身分を騙って、銭方好近に登録していたことがわかった。

本来は、担当者が現地訪問をするはずなのだが…

この本人確認は、セキュリティー上きわめて重要なので、銭方好近では、申請があったのち、調査員が店舗に赴き、現地での確認をしてから、アカウントを開設することになっている。これであれば、身分を騙ってアカウントを開設することはかなり難しくなるはずだ。しかし、それでも銭方好近が悪用されている。

新京報網の記者は、実際に銭方好近のアカウント開設を申請してみた。すると、銭方好近の担当者から電話がかかってきて、「銀行カードや営業許可証の写真、それから店舗の入り口と店舗内の写真を送ってください。それを送ってくれれば、担当者が訪問することなく、10分でアカウントが開設できます」という。

このような写真であれば、他人が撮影することも不可能ではない。新京報網の記者は、銭方好近がQRコード窃盗の道具として使われるのは、これが原因ではないかと指摘をしている。

f:id:tamakino:20190815113953j:plain

▲商店側の決済アプリ「収銭吧」では、必要書類の他に、店主が店舗前や店舗内にいる写真も送信する必要がある。担当者の現地調査を省くためだが、写真だけではどうしても抜け道が生まれてしまう。

他のアプリも書類の写真を送るだけでアカウント取得可能

同様のアプリで、「収銭吧」というアプリも商店から人気がある。アプリを入れるだけで、スマホがQRコードリーダーになるだけでなく、低価格でワイヤレスのQRコードリーダーも販売している。個人商店だけでなく、レストランなどでテーブル会計をするのに使われ始めている。

新京報網の記者は、この収銭吧にもアカウント開設を申請してみた。ウェブで必要事項を記入すると、すぐに担当者から電話がかかってきた。「６枚の写真を撮影して送ってください。身分証の表と裏。店舗の入り口に申請者本人が立っている写真。店舗内に申請者がいる写真。申請者が身分証を持って、店舗内で撮影した写真。申請者が銀行カードを持って、店舗内で撮影した写真の６枚を送ってくれれば、確認できしだい、アカウントを開設します。写真はWeChatで送ってください。当日中に、リーダーなどの機器も上海から発送します」。

この収銭吧は「10分で申請処理、30分で利用開始」をうたっている。確かに銭方好近よりは審査が厳しいが、それでもなりすましは可能だ。他人の身分証と銀行カードがあれば、あとは空き店舗か開店前の店舗を利用すれば写真は用意できる。

アリペイ、WeChatペイの商店アカウントは厳格化されている

このような、「聚合支付」と呼ばれるものが広まっている理由は、ひとつのアプリ、リーダーで複数のQRコード決済方式に対応しているという利便性と、アカウント開設が簡単ということにある。

アリペイ、WeChatペイなどの商店アカウントの申請は、当局の指導により、年々厳格化されている。個人アカウントを開設するには、アプリをダウンロードして、身分証番号を入力し、銀行カードを登録するだけでいいが、商店アカウントを開設するにはさまざまな書類を提出しなければならなくなっている。例えば、WeChatペイの商店アカウントであれば、営業許可証、組織機構コード証明書（法人の身分証明書のようなもの）、法人代表者の身分証、銀行口座関連書類などをWeChat申請プラットフォームから送らなければならない。

きちんと商売をしている店主であれば必ず持っているもので、特に組織機構コード証明書は大切にしまっておくもので、他人が触れる機会はほとんどない。写真を元に、フォトショップなどで改竄した写真を送ることも不可能ではないが、発覚した場合の罪は重い。

f:id:tamakino:20190815114004p:plain

▲ハンディタイプのPOSレジも販売されていて、中国ではテーブルの上に置く大型のレジスター機は次第に少なくなっている。客数の多いスーパーやコンビニなどで使われる特別な機械になりつつある。現金をほとんど扱わなくなったので、現金をしまう場所を用意する必要が薄くなっているからだ。

規制がまだ緩い「四者決済」方式

アリペイ、WeChatペイなどは「三者決済」と呼ばれている。銀行、決済運営、消費者の三者間で決済が行われるからだ。スマホ決済が普及をし始めた2012年頃までは、法律の規制も少なく、スマホ決済はそれを利用して急速に拡大をした。しかし、決済手段として重要な地位を占めるにつれ、政府は規制を強めていった。この規制により、ビジネスの自由度は狭まっていったが、その代わりに安全性がもたらされた。

しかし、銭方好近や収銭吧などの聚合支付は、四者決済と呼ばれる。銀行、決済運営、聚合支付運営、消費者の四者間で決済が行われるからだ。この四者決済は、現在規制の対象外になってしまっている。そのため、アカウント開設の審査が緩く、ここが犯罪者に利用される原因となっている。

違法賭博場でも、商店アカウントが取りやすい聚合支付が利用され、スマホ決済が行われている。また、スマホ決済内のデジタルマネーのマネーロンダリングにも使われているとも言われる。スマホ決済の資金移動はすべて記録が残されるので、追跡が可能だが、架空の商店、なりすましの商店をかませることで、追跡を断つことができるからだ。

f:id:tamakino:20190815113959p:plain