SSL研究員が、気になったWeb記事を紹介、コメントします。
<引用元:中華IT最新事情>
アリペイ安全の死角。若い世代ほど被害額は大きい
http://tamakino.hatenablog.com/entry/2018/02/06/080000
要約;
- 中国のメガバンクである中国銀聯がまとめ2月に公開した「2017移動支付安全大調査分析報告」で、スマートフォンによるキャッシュレス決済の落とし穴についての考察があった
- 可処分所得の小さい人ほどスマートフォン決済利用率が高く、それと連動して、決済の詐欺被害にも遭いやすいことが判明
- スマホ決済は、情報漏洩やなりすましなどが起こりづらくセキュリティは高いといえるが、偽造QRコードなどにより、支払先そのものを間違ったサイトに誘導する形の詐欺が横行している。
- ユーザーは、そのQRコードが本物かどうか、誘導される支払先が正しいものなのかきちんと確認することが重要。実際に、インターネットリテラシーの低い50歳以上のユーザーがより多く被害に遭っている。
SSL 安田コメント
利用者のセキュリティ意識が低い事が課題と結論付けられていますが、この論調は中国ではアリということなのかもしれないのですが...決済するQRの偽造を見抜けないユーザが悪い、という指向は日本では受入れられず、決済方法を提供する側のほうでしっかりとセキュリティを担保できる仕組みが必要、ということになるでしょうね。
SSL 難波コメント
そもそもQRコードは決済用に設計されたものではなく、工場などで使用することを想定して開発されたものです。そのためQRコード自体にはセキュリティーを担保する仕組みはなく、決済で使用するには記事にあるように最終的にはユーザーが注意する、という対策になってしまいます。
決済で使用するのであれば、セキュリティーを考慮した設計が必要です。
例えば、SSTの音通信技術は、当初から決済で使用することを念頭に開発されたものであり、セキュリティー面においてはQRコードと比べて大きな差があります。その点を考えると、スマホ決済における現状のようなQRコードの使用は過渡期であり、今後セキュリティーを考慮した新しい仕組みが導入されていくと思われます。
