トピックス 2021.07.07 PayPayは安全か？キャッシュレス決済の主導者に潜むリスクを考える

日本で本格的にクレジットカードが普及し始めたのが1964年の東京オリンピックからだったといいますから、キャッシュレス決済は決して始まったばかりではありません。

それにもかかわらず、経済産業省の発表によるとキャッシュレス決済の比率は2020年時点で20%程度となっています。これだけインターネットが発達してスマホが普及していても現金決済の方が多いのはなぜなのでしょうか。

その理由としては、「セキュリティに不安がある」ということが挙げられています。

PayPay社が、キャッシュレス決済を使わない理由について2019年7月に調査したところによると、理由として一番に挙げているのが、「セキュリティが不安だから」（45.2％）ということだったのです。

この記事では、いまや日本におけるキャッシュレス決済普及の主導者ともいえるPayPayの安全性について考えてみました。

ご存じの通り、PayPayはQRコード決済です。2021年からはPayPay銀行も登場しました。

2018年の会社設立以来、加入者数は2021年3月末時点で3,800万人を超えており、加盟店数は316万カ所以上となっています。（PayPay株式会社2021年4月12日発表）

2020年4月から2021年3月までの決済回数は20億回にもおよび、前年同月比の2.5倍になっているといいますから、すさまじい急成長ぶりです。

決済回数の伸びは衰えを全く見せておらず、おそらくこれからも日本のキャッシュレス決済のけん引役となっていくことが予想されます。

そんなPayPayですが、これまでにいくつかのセキュリティインシデントが発生しています。これに関連する出来事を時系列にまとめてみました。

● 2018年10月5日 PayPayサービス開始。
● 2018年12月4日 「100億円あげちゃうキャンペーン」開始。
● 2018年12月6日 PayPay支払いで多重課金の不具合が発生。
● 2018年12月13日 「100億円あげちゃうキャンペーン」終了。
● 2018年12月17日 PayPay支払いによるクレジットカードの不正利用が多発しているとの報道。
● 2018年12月19日 一連のトラブルに対してPayPayが謝罪
● 2018年12月21日 月のカード利用額を5万円に制限する措置。
● 2018年12月22日 譲渡機能で利用するQRコードの実装を修正。
● 2018年12月27日 PayPayが3Dセキュアの導入予告とカード不正利用への補償について発表。
● 2020年12月7日 PayPay、ブラジルから不正アクセスがあり、加盟店情報などのデータ2千万件が流出の可能性

これらの事故の予兆はほとんど、2018年12月のサービス開始直後に発生しており、それらについてはおおむね対策を終えているようです。

2018年12月に発生した多重課金の問題や、クレジットカードの不正利用の問題に関しては、アプリの不具合が原因とはっきりしており、直ちに対策がとられたため、それ以降は同様の問題は発生していません。

また、2020年に海外からの不正アクセスがあり、個人情報を含む情報漏洩があった可能性が示唆されましたが、アクセス権限の設定不備によるもので直ちに修正がされました。

この件に関して具体的な被害の情報はまだありません。

このように、PayPayはサービス開始直後に多少の混乱はあったものの、現在では安定した運用がなされている様に見えます。

しかしながら、これはPayPay側の責任範囲での対応がなされているというだけであり、使う側の責任によるセキュリティホールもあるわけです。

そういう視点で、スマートフォンにインストールされているPayPayアプリを調べてみました。

すると、次のような危険性があることがわかります。

たとえば、PayPayアプリがあるスマートフォンを机の上に置きっぱなしにしたとします。

画面がロックされてしまう前に、他人が手に取って持ち去り、画面を開け、PayPayアプリをタップすると、そのまま何の差支えもなく普通に使えてしまいます。

設定してある上限までですが、買物し放題、銀行口座と連携していた場合はチャージし放題、さらには送金し放題というわけです。

画面がロックされてからでも、パスコードが推察されやすいものであったり、知られていたりすれば同じことです。

これを防止するには、PayPayのアカウント設定から「セキュリティとプライバシー」の設定を開け、「端末の認証を有効にする」をONにすることが必要です。

「端末の認証を有効」にしておけば、PayPayを立ち上げるたびにTouch IDが使用されるようになるため、本人の指紋が認証されないと立ち上がらなくなります。

安全のためにパスワードを変更することもあるかと思います。

ところが、PayPayのアプリの場合、パスワードを変更すると設定がデフォルトに戻る様です。

したがって、前段で述べた「端末の認証を有効にする」をオンにしていても、設定がリセットされ有効ではなくなります。

PayPayを立ち上げるたびにIDとパスワードを入力しなければならないなどと言うことはなく、そのままスムーズに使用できてしまうため、端末の所有者であるかどうかは問われない状態になります。

パスワードの変更後には、再度「端末の認証を有効にする」をオンにすることを忘れないようにしましょう。

「端末の認証を有効」にしてあったとしても、PayPayアプリを閉じないで、ホームボタンだけを押し、ホーム画面に戻っただけの状態だった場合、ふたたびPayPayアプリのアイコンをタップするとTouch IDは起動せず、そのまま使用出来てしまいます。（バージョン2.72.0の場合）

PayPayアプリは、使用する都度必ず閉じることが必要です。

スーパーのレジなどで列に並んでいるとき、支払う準備として決済用バーコードを表示したままにしてはいないでしょうか。

後ろからバーコードを盗撮されると、そのまま使えてしまいます。

可能性として低いかもしれませんが、無人レジが多くなってきた昨今では気を付けるに越したことはありません。

端末の電話番号は、すでに漏洩していると考えておいた方が良いようです。

SMSでPayPayからの発信を装った不審なメッセージがきてリンクのタップを促すことがありますが、決してタップしてはなりません。

店舗にとってPayPayの良いところは、大きな設備投資なく導入できるところです。

なんといっても、レジに小さな立て看板を置いてQRコードを表示しておくだけでよいのですから、移動販売車や野外イベントの出店などでも使用できるというわけです。

しかしながら、そこには次のようなセキュリティホールが潜みます。

スマートフォンに表示されたバーコードに盗撮のリスクがあることを述べましたが、レジに表示しっぱなしのQRコードも危険です。

中国では、偽造されたQRコードにすり替えられて犯人の口座に不正送金をさせられる犯罪が発生しています。

PayPayでは、定期的に紙に印刷されたQRコードが本物かどうかをチェックすることを推奨しています。

「PayPay for Business」はPayPay決済を導入している店舗の管理ツールです。

ログインにはメールアドレスとパスワードを使いますが、パスワードは容易に推察できる文字列を使用せず、できるかぎり長くて複雑なものにすることが推奨されています。

ここまで、QRコード決済のPayPayについて書いてきましたが、2021年になってから出来たPayPay銀行のセキュリティはどうなのでしょうか。

「PayPay銀行」というと、つい最近いきなりできたように聞こえ、「本当に大丈夫か？」と思うかもしれませんが、PayPay銀行の前身は、あの「ジャパンネット銀行」です。

ジャパンネット銀行は、2000年に日本で初めて店舗を持たないインターネット専業銀行として、戦後初めて新しく免許を取得した銀行です。

通帳も印鑑もなく、来店の必要もない銀行の仕組みは今でこそ珍しくありませんが、このジャパンネット銀行が草分けだったというわけです。

2006年には、日本で初めてトークンを用いたワンタイムパスワード方式を導入しました。

トークンによるワンタイムパスワード方式は、インターネット上で銀行決済を行う場合、現在において最も安全性のある方法として信頼性の高いものです。

2014年にはヤフー株式会社が主要株主となり、2021年になってついにPayPay銀行に名前を変えたわけですが、このようにいきなりできたのではなく、インターネット上における銀行決済では最も歴史が古く、事故も発生したことがないので信頼できるものと言えるでしょう。

また、PayPay銀行に口座を作る際は「かんたん確認（eKYC）」といわれる方法が用いられており、PayPayアプリ上から免許証もしくはマイナンバーカードの表・裏・斜めの3点撮影と本人の顔写真を送信することで可能になっています。

一度PayPay銀行に口座ができれば、信頼性が高いだけに非常に便利に使えることになりますが、前段で述べたようにPayPayアプリと銀行口座をリンクさせていた場合、残高チャージの際にその都度トークンによる本人確認は行われませんので、スマートフォンの扱い方やアプリの設定に気を付けないと、危険な場合もあります。

このように、QRコード決済では圧倒的シェアを誇るPayPayですが、意外とセキュリティホールは多いようです。PayPayは、非常に使いやすく作ってあるがゆえに、使う側で気を付けなくてはならない。指紋認証などの設定や、使うたびにアプリをきちんと閉じるなど「運用」がセキュリティ上重要になってきます。

絶対安心な物は、どこの世の中にも存在しません。リスクを最小限にして利便性を享受するには、使う側のリテラシーも求められるというわけです。

【関連リンク】

PayPay不正アクセスで加盟店等の情報約260万件流出か、ブラジルからの攻撃（サイバーセキュリティ.com）
https://cybersecurity-jp.com/news/46784

PayPayからのお知らせ（当社管理サーバーのアクセス履歴について　2020年12月7日：PayPay 株式会社）
https://paypay.ne.jp/notice/20201207/02/

PayPayからのお知らせ（「PayPay」利用時の本人確認および不正利用防止に向けた対応について　2020年9月15日：PayPay 株式会社）　
https://paypay.ne.jp/notice/20200915/07/

PayPayの安全への取り組み（PayPay 株式会社）
https://paypay.ne.jp/safe/

PayPayに関連するインシデントについてまとめてみた（HatenaBlog　Piyokango氏のブログ）https://piyolog.hatenadiary.jp/entry/20181218/1545164396

PayPayの不正利用問題とセキュリティ設定方法（ZEIMO）
https://zeimo.jp/article/20046

【重要】弊社を装った詐欺(なりすまし)サイトにご注意ください。（PayPay モール）
https://paypaymall.yahoo.co.jp/store/e-miyaco/custom/fraudsite/

不正利用・詐欺対策について（PayPay 株式会社）
https://paypay.ne.jp/help/c0176/

PayPayの安全性、セキュリティは大丈夫？【二度目は無い】（コテツくんのわかる解説！）
https://simcard-time.com/paypay-security/

ジャパンネット銀行の歩みとその時代（ジャパンネット銀行）
https://www.japannetbank.co.jp/company/15th/

第一回の議論の振り返り、日本のキャッシュレス決済比率、決済事業者及び国の開示の在り方について（経済産業省）　
https://www.meti.go.jp/press/2020/06/20200626014/20200626014-3.pdf

口座開設の流れ（PayPay銀行）
https://www.japannetbank.co.jp/account/ordinary/index.html

TEXT：セキュリティ通信 編集部
PHOTO：iStock