QR コード決裁のセキュリティ脅威

先日、Paypay のキャンペーンを利用して

除湿機をビックカメラで購入したと記載していました。

Paypay のキャンペーン内容が強烈過ぎて

何度もニュースで話題になっているのを

見ている気がします。

その中で、気になる話がありましたので共有したいと思います。

Paypay 等で使われる

QR コード決裁のセキュリティ事情です。

スポンサーリンク

QR コードの読み取り方は大きく 2 種

中国や他国では日本よりももっと普及しているみたいですが、

私は Paypay を使うのが初めての QR コード決裁でした。

そのため、Paypay アプリ利用を通じて勉強になってしまっていますが

QR コードを読み取りお支払する方法は大きく 2 種類あります。

・ユーザのアプリ側に QR コードを表示させてお店で読み取る
・お店の QR コードをユーザのアプリで読み取る

Paypay も上記の両機能があり、どちらのパターンでも支払い出来そうです。

ただ、ビックカメラでの支払いは後者のみでした。

QR コードが印刷された紙がレジに置かれていて

それをユーザがアプリを用いて読み取り

店員さんと共に金額を確認しながらアプリに金額を入力して支払う

といった感じです。

このスタイルの場合、お店に専用の読み取り機を置く必要がなく

導入コストが安価です。

屋外のイベントや露天、中小のお店でも用意に導入出来そうですね。

一方、前者の場合はお店に専用の読み取り機が必要そうですが

そのコスト感は他の電子決済システムと比べてどちらがお高いのか

一般人である我々からすると想像出来ませんね。

お店の QR コードを疑おう

で、ニュースで取り上げられていたセキュリティの懸念は

前述で言うと後者のものです。

お店が用意している QR コードをユーザがアプリで読み取るパターン。

何故かと言うと、

何と、お店の QR コードを

誰も見ていないスキに張り替えてしまう輩が

世の中には存在するようです。

貼り替えた QR コードが別のお店への支払いのものであれば

店頭でそのお店にお金をお支払しているつもりでも

別のところにお金が行ってしまう、といった感じと思われます。

もちろん、貼り替えられてもうまく制御すれば

支払先が誤っていればガードする機能を実現出来るようにも思えます。

各社 QR コード決裁サービスを手がける方々の

システムの作り方次第に思えますね。

ただ、個人的には、

前述した前者のパターン、

利用者の QR コードをお店が読み取るスタイル。

こちらの方が少し不安に思えています。

なぜなら、仮に各個人が表示する QR コードを

別の誰かが同じロジックで生成出来てしまうと

本人に成りすました支払いが出来ますからね。

恐らくこれをするにはパスワードの解読のように

膨大な計算量が必要となり

今のところ非現実的と思いますが

この手のリスクと解決策は

常々イタチごっこを繰り返しています。

大切なことは、利用者も意識を高めて注意を払うことです。

まずは店頭の QR コードが上から貼り直されていないか

よく確認するようにしましょう。

 - 父も勉強