中華IT最新事情

中国を中心にしたアジアのテック最新事情

QRコード決済に思わぬ落とし穴。受取りコードと支払いコードの取り違えという脆弱性

QRコード決済を利用した新手の詐欺が発生し、商店主に向けて麗水公安が注意喚起を行った。近年、ビデオ通話越しにQRコードをスキャンするという方法が広がり、これを利用したものだ。

 

ビデオ通話でも決済ができるQRコード決済

QRコード決済は、非常に利便性が高い。決済までの手順やスムースさでは、NFCなどのタッチ決済の方が優れているが、NFC決済の問題は専用のリーダーなどの機器を用意しなければならない点だ。QRコード決済であれば、互いがスマホを持っていれば、特別な機器を用意することなくお金の受け渡しができる。

しかも、QRコードは単なる図形であるため、画像として送ってスキャンをしてもらうことも可能だ。さらに、ビデオ通話をしている時は、QRコードの映像をカメラに見せ、相手にスキャンしてもらうということもできる。

QRコードはアナログとデジタルをつなぐツールとして、スマホ決済にはなくてはならないものになっている。

 

個人商店のDXを進めたWeChatペイ

微信(ウェイシン、WeChat)は、決済ツールとしてだけでなく、小規模店舗の顧客管理ツールとしても頻繁に用いられるようになっている。SNSであるために、顧客に対して営業案内などを一斉送信することができ、顧客は店舗に対してメッセージで問い合わせをすることができる。

さらに、よく用いられるのが、チャットによる相談だ。例えば、特注のケーキを注文をする時など、ケーキ店の方がサンプルの映像を見せ、顧客はそれを見て注文品を決める。そして、そのまま決済をし、お金が送られてきたらケーキ店は制作に入る。メッセージのやり取りで細かい部分が伝わらない場合は、ビデオ通話に切り替えることもできる。

▲被害にあったケーキ店(右側)は、WeChatのメッセージでケーキの注文について、顧客(犯人)とやり取りをしていた。

 

QRコードの写真を送り、支払いをしてもらう

被害にあったケーキ店を経営する李さんも、日常的にWeChatを使い、顧客の特注ケーキの注文をとっていた。

ケーキのデザインが決まった後、そのまま料金をWeChatペイで支払ってもらうと思ったところ、顧客が「今、WeChatにお金が入ってなくて、アリペイで支払いたい」と言う。それで問題はないため、李さんは、店舗に置いてあるアリペイの受け取りQRコードの写真を撮り、WeChatで送信した。

顧客がこのQRコードを長押しするとスキャンすることができ、アリペイが起動するので、金額を入れてもらえば、ケーキ店にお金が送られてくる。中国人にとっては、もはや日常のものになっている手順だ。

▲アリペイのメイン画面。決済をするには上部の「付銭/収銭」(支払い/受取り)をタップする。最初に支払い用のQRコードが表示される。ここに問題があった。

 

お金を受け取るはずが、支払うことになってしまった

しかし、しばらくすると、顧客から「うまく支払いができない」というメッセージが送られてきた。そこで、顧客は「ビデオ通話でアリペイのQRコードを見せてくれないか。それをスキャンして支払いをする」という。李さんはそれでもかまわないため、顧客とPCでビデオ通話をし、カメラにスマホのアリペイQRコードを見せた。

ところが、すぐにアリペイアプリが、お金を支払ったことを告げるアナウンスをした。お金をもらうはずが、なぜ自分が支払ってしまっているのか、慌てた李さんは相手に確認しようとしたが、その時にはすでに相手はビデオ通話を切断していた。メッセージを送ったが、それもすでにブロックされ着信拒否になっていた。李さんは詐欺にあったことを自覚し、警察に被害届を出した。

▲アリペイの支払い画面。上部にバーコード、中央にQRコードがある。お金を受け取るときは、いったんこの画面を経由して、下の「収銭」(受取り)をタップして、受取り用のQRコードに切り替え、それを相手にスキャンしてもらう必要がある。

 

受け取りQRコードの表示手順に問題が

なぜ、QRコードを見せたら、お金をもらうはずが、支払うことになってしまったのか。これは、アリペイのQRコードの表示の仕方に問題があった。アリペイアプリの中で、「支払い/受け取り」のアイコンをタップすると、QRコードが表示される。しかし、これは支払い用のQRコードだ。一般には、レジなどで見せてスキャンしてもらい、お金を支払うのに使われる。

自分がお金を受け取りたい場合は、この画面からさらに「受け取り」をタップして、受け取り用のQRコードを表示しなければならない。この受け取り用QRコードは、商店の場合、印刷をしてプレートにし、カウンターなどに置いておくのが一般的だ。そのため、李さんはアリペイアプリで受け取り用QRコードを表示するのに慣れてなく、最初に相手に支払い用QRコードを見せてしまい、それから受け取り用QRコードに切り替えた。その前に、相手はスキャンをしてしまい、お金を騙し取ってしまったのだ。受け取り用QRコードを見せるのに、いったん支払い用QRコードを表示して、そこから切り替えなければならないというアプリの仕組みを利用した犯罪だった。

▲支払い画面(左)と受取り画面(右)。受取をするには、いったん支払い画面を表示して、そこから表示をしなければならない。背景色などを変えるなどの工夫はしているが、この支払い画面をいったん経由しなければならないという隙をつかれた。

 

公安はパスワード決済を推奨。しかし…

このような犯罪に引っかからないため、麗水公安はパスワード支払いを設定することを推奨している。支払い用QRコードで支払う時に、パスワード入力画面が現れて、正しいパスワードを入力しないと支払いが実行されない。しかし、支払いのたびに毎回パスワードを入れるのは面倒なことで、多くの人が設定をしていないのが現状だ。

また、麗水公安は受け取りコードであろうと、支払いコードであろうと、ネットで送ったり、ビデオ通話で見せることは避けてほしいと忠告をしている。しかし、これもQRコードの利便性を失わせてしまうことになり、忠告に従うのは難しい。

最もいいのは、2つのQRコードを別々のメニューにして、一度の操作で受け取り用のQRコードが表示できるようにすることだ。麗水公安のこの情報は、他の地域の公安も転載をし注意喚起を行なっているため、アリペイのアプリが改善されることになるかもしれない。

QRコード決済は、次から次へと詐欺の手法が登場してくる。アナログ要素のある決済手法であるため、観察力の鋭い詐欺師が人間の行動や心理の脆弱性を次々と発見している。

NFC リーダー ライター ICカード リーダー ライター NFCスマートカードリーダー ACR122U NFC RFIDリーダー 非接触型 Windows10 Mac OS10.15対応

NFC リーダー ライター ICカード リーダー ライター NFCスマートカードリーダー ACR122U NFC RFIDリーダー 非接触型 Windows10 Mac OS10.15対応

  • MESEVEN
Amazon