【エバンジェリスト・ボイス】キャッシュレス決済とセキュリティ

CSS部エバンジェリストの藤原です。
早いものでもう9月も半ばですが、まだまだ暑い日が続いています。楽しかった夏休みも終わり、これからは秋のレジャーが楽しめますね。

さて、いよいよ 10 月から消費税増税です。今までの増税では駆け込み需要などもありましたが、今回は今のところ盛り上がってはいないようです。理由として、ひとつは軽減税率、もうひとつは、経済産業省の「キャッシュレス・消費者還元事業」による期間限定の還元策によるものと思われています。

さて、今回は「キャッシュレス・消費者還元事業」に注目してみましょう。

キャッシュレス・消費者還元事業とは、 2019 年 10 月に予定されている消費増税にあわせて実施される国の事業で、キャッシュレス決済サービスを利用して消費者が支払った場合、支払い額の 5% または 2% がポイントで還元されるというものです。このパーセンテージは事業規模等によって以下のように変わります。

・中小・小規模の小売、飲食、宿泊等               　　　　　　 5% 還元

・上記のうち、コンビニ、外食等大手フランチャイズ傘下      2% 還元

・上記以外　                     　　　　　　　　　　　　　 還元無し

5%還元はかなり大きいのですが、いまひとつ盛り上がりに欠ける理由は、対象店舗が中小・小規模に限られるという点です。

・小売業の場合、資本金 5,000 万円以下または従業員 50 人以下

・サービス業の場合、資本金 5,000 万円以下または従業員 100 人以下

このため、我々が日常よく使う大手スーパーやファミレスなどの直営店は対象になりませんし、高額の買物をするディーラーや家電量販店も対象外です。

対して、コンビニ等のフランチャイジーはベースが中小ですので対象になるところが多くなります。このため、日常的に恩恵にあずかる機会が多いのはコンビニが大半ということになりそうです。

外部サイト： 経済産業省　キャッシュレス・消費者還元事業 登録加盟店一覧


このように盛り上がりに欠ける利用者に対して盛り上がっているのは決済事業者です。決済事業者登録には「加盟店の決済手数料 3.25% 以下にしなければいけない」という条件があったため、当初は事業者が二の足を踏んでいるという報道もありました。しかし、蓋を開けてみると多数の決済事業者が参加しています。

なお、決済事業者は消費者向けにキャッシュレス決済の手段を提供する A 型決済事業者と、店舗向けにキャッシュレス決済端末やサービスを提供する B 型決済事業者があり、 2019 年 8 月 23 日付で 887 社が登録されています。

外部サイト： 経済産業省　キャッシュレス・消費者還元事業登録決済事業者リスト


決済におけるセキュリティ
さて、ここまではポイント還元事業の話でしたが、ここからはセキュリティの話をします。

前述の通り、多くの決済サービスがキャッシュレス・消費者還元事業の対象になっていますが、セキュリティは大丈夫なのでしょうか。

我々が主に接触するのは前述の A 型決済事業者です。クレジットカード各社のほか電子マネー提供業者、 QR コード決済事業者等が対象になります。金額ベースで言うとクレジットカートカードの不正利用が最も被害が大きいのですが、クレジットカートカードの不正利用は被害者がカード会社となり、顧客が支払うケースがほとんど無いためかあまり話題になりません。

なので、今回は最近話題になったセキュリティ事故ということで、 QR コード決済について話をしていきます。


QRコードの不正利用は paypay 、コーナン pay 、 7pay と色々ありました。残念ながら 7pay は 2019 年 9 月 30 日 ( 月 ) をもってサービス終了となります。7payへの攻撃手法はリスト型攻撃の可能性が高いと公式で発表されています。


リスト型攻撃とは
リスト型攻撃とはパスワードリスト攻撃やリストベースアタックと呼ばれています。要は、攻撃者が何らかの手段で入手した、アカウントとパスワードの組み合わせのリストを用いて成りすましを行うというものです。

この他の攻撃手法（対比）
・ブルートフォースアタック： 1 つのアカウントに対して、 A ～ Z ・ 0 ～ 9 までの文字を順に試していく方法。

・辞書攻撃：　1つのアカウントに対して、パスワードとしてよく使われる文字列の辞書に登録されたパスワードリストを順に試していく方法。

これらは 1 つのアカウントに対して、ひたすらログインを試行します。このため、よくありがちな「ログインに 3 回失敗したらアカウントを 60 分ロック」等である程度の対策が取れてしまいます。前述の paypay の不正利用は、クレジットカード登録の際に、不正に出回っているクレジットカード番号のリストを使用し、セキュリティコード ( カード裏の 3 桁の数字 ) に対してブルートフォースアタックがかけられたとの事で、システム上クレジットカード入力の上限回数が設けられていなかったことが原因といわれています。

これらの総当りに近い攻撃に対し、リスト型攻撃は 1 対のアカウントとパスワードをリストにし、 1 つずつログインを試行します。このため、毎回別の ID でログインしますので、アカウントロックでは対策にならない上に、システム上では気づきにくいというのが特徴です。


リスト型攻撃のリストについて
攻撃者のリストの入手方法は様々ですが、次のようにネット上で公開、あるいは売買されているので、攻撃者はネット経由で入手するケースが多いようです。

外部サイト : ソリトンシステムズ社   Collection#1 事件と日本の被害

外部サイト : CNET News 22 億件超の流出アカウント情報、ダークウェブで一括公開

そのリストは、過去のアカウントの流出事故で流出したリストがベースとなっています。作成者は重複排除や名寄せを行うことなく、全て結合している状態になっています。

そのため、名寄せをしたら一気に件数が減ったり、データが古すぎてアカウントが無かったりということで、実際に有効なデータはごく僅かです。

とはいえ、仮に 22 億件の 0.001% 有効なものがあるとすれば 2.2 万件となりますので、バカにはできない数です。また、このようなリストは日々更新されていますので、流出の危険は常にあると考えたほうがよさそうです。


リスト型攻撃のサイト側の対策
リストの流出については利用者側ではコントロールできませんが、我々にも対策可能な方法があります。

7payの事件で 2 要素認証または 2 段階認証という言葉が有名になりました。これは、 1 要素目はユーザ ID とパスワード認証を使用してログイン。ただ、これだけだと第三者にユーザ ID とパスワードを使われたなりすましの可能性があるので、もう一要素を加えようということです。

有名になった SMS( ショートメッセージ ) 認証は、ユーザ ID とパスワードに加え、あらかじめ設定した電話番号に対して SMS でパスコードを送信することによって本人認証を行うものです。電話番号は本人認証としては強力なものと言えますので、組み合わせればより強度が高まります。このように、 2 つの要素で認証しますので 2 要素認証といいます。

問題点は、 SMS 認証はサイト側が通信費を負担するため、単純なログインで使うと費用が膨大になることです。このため、パスワード変更や連絡先、住所の変更など重要な変更を行う際に求められるケースが多くなっています。

SMS認証以外で、比較的ローコストな認証があります。それは、本人認証ではなくロボットかどうかの判定をするために用いられます。

リスト型攻撃では、ロボットを使って大量のログイン試行を行いますので、人間は判定できるが、ロボットでは判定できない要素を組み込むことでリスト型攻撃対策を行っています。よく使われるのは次のようなものです。


CAPTCHA認証

ログインをすると、グネグネに表示された文字を入力させられたことがあると思います。あれが CAPCHA 認証です。ロボットが読み取れないけど、人間なら読める文字を入力させることにより、不正なログインを防ぐ方式です。

残念ながら、日々ロボットでも字を認識できるようになってきており、さらに難読化を進めた結果、人間も読めなくなると悪循環が続き、現在はあまり使われていません。


reCAPTCHA認証

CAPTCHA認証を進化させたものですが、よく見るところでは「私はロボットではありません」というダイアログでおなじみの reCAPTCHA v2 があります。

現在はさらにバージョンアップしたreCAPTCHA v3がリリースされています。 v3 では振る舞い ( サイトの遍歴やカーソルの動き等と言われています。 ) だけで認証を行いますので、画像認証は行いません。

画像認証が無いのはメリットのように思いますが、振る舞いで判断され、且つ弾かれたとしても原因がわかりませんし、判定基準も明かしてくれません。

このため、サイト管理者は判定に失敗した場合に備え、別の認証方法も用意する等の対応の必要が出てきます。


Capyキャプチャ
日本発祥の方式で、ジグソーパズルの 1 ピースをはめるような形の認証で有名です。


これらの認証によって、ロボットによる認証を防いでいます。しかし突破する為の技術も日々進んでいるので、この対策が絶対というわけではありません。やはり攻撃する側も費用対効果を重視するので、なるべく簡単に効果の上がるサイトを攻撃対象にする傾向があります。このため、認証が増えれば一定の抑止効果は期待できます。

他にも、大量のログイン要求があれば遮断する等といった方法は当然ありますが、攻撃者は対策として複数のソース IP を使い、数十分に 1 回等ランダムにログインを試行するといった、機械では発見しづらい方法で対策をしており、日々いたちごっこが続いている状態です。

この他に認証とは違いますが、ログインなど一定の操作を行ったらメールを送信してくれるサイトがあります。このようなサイトも、不正の早期発見に役立ちます。


利用者側の対策
使い回しを全く行っていないユーザは 10% 未満という統計があります。

やはり月並みですが、ユーザで出来る対応は

・リスト型攻撃の対策を行っていないサイトの利用は避ける

・アカウント・パスワードの使い回しを止める

といったところに落ち着くのではないでしょうか。

パスワードを覚えるのは面倒ですが、実はリスト型攻撃に関わらず、統計上あまり複雑なパスワードをつけても安全性が高まるわけではありません。これは現在ほとんどのサービスではパスワード間違いの上限が決められており、一定時間アカウントロックが行われるようになっています。このようなサイトでブルートフォースアタックをかけても効率が悪いだけですので、攻撃者は敬遠します。

むしろ、無駄に複雑なパスワードはミスを誘発するだけですので、システムの用件を満たしており、且つ辞書に載らないようなパスワードであれば十分です。

例として、意味の無い文字列「 8Lr4!z 」を固定にしておいて、サイト略称を後ろにつけるなどでも、充分にセキュアですのでお勧めします。

但し、利用しているサイトで ID 流出などが発生した場合は類推される可能性がゼロではないため、他のサイトのパスワードも含め全て変更したほうが安全です。

パスワードは出来れば紙で管理するほうが安全ですが、難しい場合はパスワード管理ソフトを使って、少しでもセキュアにアクセスできる様に努めたいものです。


追加で注意すること
もうひとつお勧めの対策としては「被害時に補償のある決済だけ利用する」といった事も念頭に置いてください。少し前までは銀行チャージの場合など保証が無いケースもありました。 7pay の問題以降、銀行チャージも含めて被害補償の対象になるケースが増えていますので、各社の利用規約を確認することをお勧めします。

なお、多くの利用規約では「被害者に重大な過失があった場合などは補償対象外」と記載されています。このため、「アカウント・パスワードの使い回し」が重大な過失と言われないよう、事前に対策を行っておくことをお勧めいたします。


最後に
余談ですが、総務省ではキャッシュレス・ポイント還元事業が終了する 2020 年 7 月以降、「マイナポイント」という、マイナンバーカードを使った追加の消費活性化策を計画しています。

詳細は未定ですが、○○ Pay のチャージ 2 万円に対し、プレミアとして 5000 円を付与してくれるというありがたいサービスです。

使うのはマイナンバーでは無く、マイキー ID という別のアカウントになるので、マイナンバー自体の流出の心配もなさそうですが、マイナポイントを獲得するためにはマイナンバーカードの発行とマイキー ID の発行というハードルがあります。

外部サイト： 総務省　マイナポイント

この、利便性とセキュリティのトレードオフというのが、いつか解決するといいのですが。
映画ではないですが、体内埋め込みデバイス等が現実的な解かもしれませんね。


それでは次回お会いしましょう。

当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。