インフォぷりんVol.168『二次元バーコード（QRコード）決済利用のリスクとその対策』

二次元バーコード（通称QRコード、以下「QRコードと表記」）決済は、スマートフォンで手軽に支払いができる便利なサービスですが、QRコード決済サービスを悪用されることによるトラブルも起きています。安全に利用するために、店側と利用者側の双方が注意するべきことはなんでしょうか？

利用者側のリスクと対策

利用者（支払う側）は次のようなリスクがあることに注意しましょう。

これらのリスクへの対策には次のようなものがあります。今一度ご自身の利用しているサービスや端末の設定等を確認しておきましょう。

• スマホのロック強化：スマホ本体やアプリ起動時の顔認証や指紋認証を設定し、他人がスマホや決済アプリを勝手に操作できないようにしておきましょう。
• パスワードの使い回し禁止：各サービスで異なる、かつ類推されにくいパスワードを設定し、どこかで情報が漏えいしても他のサービスに影響が出ないようにしておきましょう。
• アプリのログイン状態の定期的な確認：決済アプリが、どの端末でログインしているのか定期的に確認しましょう。自分が使っている端末以外でログインしている場合は速やかにその端末からのログインを解除しましょう（アプリ内の「設定」や「セキュリティ」などから確認できます）。
• 疑わしいリンクを開かない：なりすましメールの被害にあわないよう、「アカウントを停止します」や「不正な支払いがありました」など、緊急を装うメールやSMSが届いても、メール内のリンクはクリックせず（メール経由でサイトやサービスにアクセスせず）、公式アプリや公式サイトを自身で別途開いて確認するようにしましょう。
• 支払い時の周囲確認：決済用のQRコードをスマホ表示する際は、背後に人がいないか確認し、素早く決済を済ませましょう。また、決済実施時以外は決済用バーコードを表示させないようにしましょう。
• 自動入金をしない：万が一決済アプリを不正に利用された場合のために、銀行口座などからの自動入金はオフにするか制限しておきましょう。
• OS・アプリのアップデート：スマホ本体や決済アプリは常に最新のバージョンにアップデートして利用しましょう。アップデートによって、既知のぜい弱性に起因する攻撃や不正利用を防ぐことができます。

店舗側のリスクと対策

QRコード決済で支払いを受ける側（店舗）にも次のようなリスクがあります。

これらのリスクへの対策には次のようなものがあります。

• QRコードの定期確認とすり替え防止の工夫：利用者に読み込んでもらう店頭のQRコードが偽造されていないか（上から別のQRコードが貼られたりすり替えられたりしていないか）、定期的にチェックしましょう。特に個人店やフリマ出店の場合は、監視が行き届かないことがあり、悪意ある者に狙われやすいのでこまめに確認しましょう。また、透明カバーを貼る、常にスタッフの目が届く場所に置く、などの工夫も大切です。
• Wi-Fiのセキュリティ強化：利用者にWi-Fiを提供する場合、店管理用とは完全に分離したゲスト用のネットワークを提供し、通信の暗号化、接続用パスワードの強化（パスワードなし、または初期設定のままで使用しない）などの対策を実施しましょう。
• 支払いの二重チェック：利用者端末の決済完了画面確認だけでなく、店舗側の別の端末で入金をリアルタイムで確認できるようにしておきましょう。
• スタッフ教育：不正の手口やトラブル発生時の対応などを全スタッフ間で共有し、不審な行動を見逃さないようにトレーニングを行いましょう。

まとめ

QRコード決済を安全に使うには、利用者はスマホやアプリのセキュリティ管理、店舗は物理的な掲示やネットワーク対策を含む総合的な防御が求められます。いずれも、攻撃手法は日々変化していることを意識し、見直しや確認を怠らないことが、トラブル防止の第一歩です。