広西省南寧市で、QRコード決済「アリペイ」の決済完了画面を家計簿アプリの画面で装い、無銭飲食をするという事件が起きた。あまりにも単純な手口で、南寧市公安では、入金を必ず確認するように注意喚起をしていると騰訊網が報じた。

 

QRコード決済の新たな死角は、単純な手口

QRコード決済に新たなセキュリティの死角が見つかった。

5月27日、広西省南寧市の麻辣香鍋のお店で、2名の若い女性が食事をし、アリペイで決済をした。QRコード決済には2つのやり方がある。ひとつは店舗側がスキャナーやスマホで、来店客のQRコードをスキャンする方法。もう一つは、印刷された店舗のQRコードを来店客側がスキャンをして、金額を入力して決済をするやり方。この場合、決済の画面を店舗側に見せて確認をしてもらうというのが慣例になっている。そして、店舗側のアリペイで入金されたことを確認して決済が完了する。手順が面倒だが、商店側がスキャナーなどの設備を用意する必要がないというメリットがあり、小規模商店でよく使われる手法だ。

▲被害にあった麻辣香鍋の店舗。単純な手口で無銭飲食をされてしまった。

 

決済完了画面は確認したのに、送金がされていない

2人の女性客もこのやり方で決済をしたが、後に店舗側が確認をしてみると、入金がされていないことに気がついた。監視カメラの映像を確認すると、どこか様子がおかしい。そこで警察に通報をした。近隣にも同様の被害にあっている商店があることから、捜査が始まっている。

▲被害にあった店舗スタッフ。忙しい時間帯であり、入金までを確認しなかった。監視カメラや入金を確認してみると、送金がされていないことから、詐欺だと判断して公安に被害届を出した。

 

▲二人の女性客が店舗スタッフに見せたのは、決済完了画面にそっくりな家計簿アプリの画面だった。

 

家計簿アプリの画面を悪用する簡単な手口

南寧市公安では、アリペイの中にある「記帳本」というミニプログラムを悪用したのではないかと見ている。

記帳本は、アリペイ専用の家計簿ミニプログラムだ。アリペイでの決済を、種別に分類ををして自動的に記録をしてくれる他、手入力で入力をすることもできる。この記帳本は、アリペイの公式ミニプログラムであるため、画面の色合いやデザインがアリペイ本体と統一されているため、非常に似通っている。

犯人の2人は、この記帳本に金額と店名を入力して、その画面を店員に見せたのではないかと推測されている。店員は、金額と店名を確認することに気を取られ、アリペイの画面であるかどうかまでは気づかなかったのだと思われる。

▲本来のアリペイの送金画面。店舗のQRコードをスキャンすると、店名が自動的に入力され、金額を自分で入力する。

 

▲二人の女性客が見せたと思われる家計簿アプリの画面。かなり違いがあり、落ち着いてみれば違うとわかるが、公式家計簿ミニプログラムであるため、アリペイのアイデンティティカラーの青が使われているため、見逃してしまった。

 

偽の決済画面を作る手口にも注意喚起

同様の手口は、アリペイやWeChatペイの決済画面シミュレーターアプリを開発すれば可能だ。作るだけなら、ちょっとした知識があればできる。現金の世界で言えば、おもちゃの紙幣やコピーした紙幣を使うような単純な手口だが、忙しい時間帯には見逃されてしまう。公安では、必ず入金を確認するように注意喚起をしている。