中国で普及をし、そして日本でも普及し始めたスマホQRコード決済。しかし、新手の、しかも簡単なハッキング手法がニュース番組で報道され話題になっていると広州日報が報じた。
レジに並んだだけで999元が消えてなくなる
8月26日に陝西衛星テレビの報道番組「新聞午報」が報道したニュースが全国的な話題になり、各地の公安も注意喚起をする事態になっている。
山西省晋城市の郭さんがあるファストフード店で注文レジに並んでいた。アリペイ、WeChatペイなどのQRコードスマホ決済で支払いをするときは、あらかじめ決済アプリを起動し、自分のQRコードを表示しておく必要がある。郭さんは手にスマートフォンを持って、レジで注文をしていた。
すると不思議なことが起こった。突然、スマホのバイブレーターが振動し、支払い通知がショートメッセージで送られてきたのだ。それをみると、あるビリヤード場へ999元(約1万6000円)を支払ったことになっている。残高も当然999元減っている。もちろん、郭さんはそんなビリヤード場に行ったことがなかった。
▲被害にあった郭さん。郭さんが警察官であったということが犯人にとっては不幸だった。
監視カメラ映像を確認すると、背後に不振な男
犯人にとって不幸なことに、郭さんは警察官だった。郭さんは、お店に協力を求めて、監視カメラの映像を見せてもらった。すると、レジに並んでいる郭さんの後ろに怪しい男がいて、郭さんの肩越しに、郭さんのスマホの写真を撮るような素振りを見せ、すぐにその場を離れている。郭さんのスマホに支払い通知が送られてきたのはその直後だった。
▲郭さんはレジで注文をするときに、手にしたスマートフォンに、支払い用のQRコードを表示していた。背後から犯人が近づいている。
肩越しにQRコードをスキャンされていた
支払い通知の情報と監視カメラの映像から、犯人はすぐに逮捕をされた。手口は簡単だった。犯人は商店向けの決済アプリ「銭方好近」をインストールしていた。これは、アリペイでもWeChatペイでも、読み込んだQRコードを自動解析して、決済をしてくれるというものだ。客にいちいち「アリペイですか、WeChatペイですか」と聞かなくても決済ができることから、レジを入れていない小規模店舗でよく利用されている。
最近は、CCDカメラの性能やQRコードの画像解析機能が上がってきているので、数10cm離れたところから撮影をしても、QRコードを読み込むことができる。犯人は、これを使って、肩越しにQRコードを読み込み、999元を請求して、盗んでいたのだ。
▲犯人が肩越しに郭さんのQRコードを撮影している。最近のカメラ性能が上がっているため、数10cm離れてもQRコードを認識できる。
999元までは認証不要で決済できる
ところで、なぜ犯人は999元を盗むのか。それは、1000元以上になると指紋やパスワードなどでの認証が必要になるからだ。逆に言うと、999元までは認証なしで支払いが成立してしまう。
各地の公安は、このような事件が他にも起きているとして、「レジに並んでいるときにQRコードを表示せず、支払う直前に表示するようにする」「999元以下でも認証を必要とする設定にしておく」の2点を注意喚起している。
また、「銭方好近」では、登録審査がきちんと行われてなく、誰でも勝手に商店として登録し、口座を作れてしまうことも問題視され、すでに一般のアプリストアからは削除されている。
▲郭さんのスマホに送られてきた支払い履歴。この情報と監視カメラの映像から犯人が逮捕された。
よりセキュアな顔認証などの生体認証へ
QRコード方式の決済は、POSレジが不要で、スペックの低いスマホでも利用できるという大きな利点があったため、スマホ決済の普及の大きな原動力となった。一方で、セキュリティ面では問題が多く、印刷されたQRコードをシールで差し替えるなど偽造による犯罪も多発している。そこで、中国では顔認証などの生体認証を利用する方式への移行が始まっている。
最初は、リスクを承知で簡便な方法で普及をさせる。普及したら、セキュアな方式を導入していく。そういうシナリオで中国のキャッシュレスは進んでいる。