スマホ決済アプリのセキュリティ対策三原則　アカウント乗っ取りを回避

※記事内に広告を含む場合があります

7payの不正利用問題が起きてから、スマホ決済のセキュリティ対策に関心を持つ人が増えています。

セブンペイでは、第三者にアカウントが乗っ取られ、本人が知らない間にクレジットカードチャージや支払いをされる被害がありました。

セブン&アイ・ホールディングスという大手上場企業が開発したにもかかわらず、ニ段階認証がなかったことも明らかになっています。

今後、スマホ決済アプリを利用するにあたり、セキュリティ対策を確認したい人も多いかと思います。

今回は、安全なスマホ決済を見分けるためのポイントを解説します。

ニ段階認証とは

7payで話題になったニ段階認証とは、ID・パスワードが他人に知られても、アカウントが不正利用されないよう守るセキュリティ対策です。

IDとパスワードを入力し、２段階めの認証でもパスワードを入力しないと、ログインできない仕組みです。

GoogleなどのITサービスだけでなく、銀行などの金融アプリでも導入が進んでいます。スマホ決済アプリでは、SMS認証が多い印象です。

SMS認証では、登録電話番号あてのショートメールで二段階認証パスワードを送ります。スマホが手元にないとクリアできないので、本人確認も兼ねています。

SMS認証以外にも、２段階認証の方法はいくつかあります。

トークンとは、「ワンタイムパスワード」を活用する二段階認証です。おもに銀行のネットバンキングで使用しています。

スマホアプリや電子カードで、一度しか使えないワンタイムパスワードを発行し、一定時間以内に入力するとログインできる仕組みです。

パスワードは使い捨てなので、ワンタイムパスワードが流出しても不正ログインされる心配がありません。

日本初のネット銀行「PayPay銀行」では、ワンタイムパスワードを自動生成する電子トークンカードを無料発行しています。

電源ボタンを入れると、カード表面の右上にワンタイムパスワード番号が表示されます。ネットバンキングにログインするとき、この番号を入力すると、二段階認証が完了します。

PayPay銀行だけでなく、ソニー銀行、三菱ＵＦＪ銀行や三井住友銀行などでは、実物のトークンやカードとアプリの両方を提供しています。

実物のトークンやカードでは電池切れによる交換、郵送のコストなどがかかります。スマホの普及にともない、アプリへの切り替えを案内する銀行も増えています。

一方、Googleはバックアップコードという仕組みを採用しています。

二段階認証でログインしたあと、バックアップコードを設定します。スマホの破損や紛失などで二段階認証が使えなくなっても、設定したバックアップコードでログインできます。

バックアップコードも、一度ログインにすると使えなくなる使い捨てコードです。

設定したバックアップコードは印刷やメモで保管し、自分で管理する必要があります。

このような二段階認証がないサイトやアプリは、ID・パスワードなどの少ない情報さえ入手すればログインできてしまいます。

7payは二段階認証がなかったため、第三者が他人の７iＤを乗っ取る事件が多発しました。

しかし、IDとパスワードは7payアプリから流出したとは限りません。ほかのサイトで、知らず知らずのうちにフィッシング被害に遭っている可能性もあります。

ID・パスワードが盗まれるのはネット上

現在、もっとも個人情報が盗まれやすいのは、インターネット上です。

数年前のID・パスワード抜き取りは、スキミングが主でした。たとえば、ATMにスキミング機器を取り付け、カードを通した人の暗証番号をスキャンするなどです。

現在は、スパムメールやフィッシングメールによる被害が増えています。特に2018年からは、フィッシング詐欺が急増しました。

大手企業からのメールを装い、公式サイトになりすましたフィッシングサイトに誘導する手口は後を絶ちません。

数年前までは、「サイトが暗号化されているかを確認すべき」とされていました。暗号化対応をしているサイトは、URLの左型に鍵のアイコンがつきます。

たとえば、iPhoneでdocomoの公式サイトを見てみると、以下のように表示されます。

しかし今は、暗号化されたサイトが絶対に安全、とは言い切れません。現在はフィッシングサイトの一部でも、暗号化されたサイトを使うケースがあります。

フィッシングサイトで抜き取った情報で、クレジットカードなどで決済をされる被害は相次いでいます。

7payの事件から、スマホ決済でもセキュリティ意識を高く持つ必要があることがわかりました。

自分でできるセキュリティ対策

スマホ決済などのキャッシュレス決済をはじめ、ネット通信を使ったサービスは今やインフラのひとつです。ネットサービスを快適に使うためには、不正利用の対策が不可欠です。

これからスマホ決済を選ぶための判断ポイントと、ふだんから気をつけるべきポイントをまとめました。

パスワードを複雑にする

まず、パスワードは複雑でオリジナリティのあるものにします。そうすることで、パスワードをランダムに入れる総当たり攻撃でログインされる可能性が低くなります。

あらゆるパスワードを総当たりで入力する暗号解読を、ブルートフォースアタックといいます。

最近は、英語と数字混じりでないとパスワード登録ができないサービスも増えています。企業側も、複雑なパスワードを設定することを推奨しています。

強力なパスワードを作るなら、大文字の英語・小文字の英語・数字が混ざっている、長めの文字列がおすすめです。

利用サービスごとに違うパスワードを設定するのが理想ですが、管理が大変だと感じるかもしれません。

iPhoneユーザーなら、「iCloud キーチェーン」で強力なパスワードを自動生成し、ログイン時に自動呼び出しができます。

iCloud キーチェーンのような機能がある、パスワード管理アプリを利用するのもおすすめです。

ウイルスバスターを開発するトレンドマイクロ社の「１ Password」というアプリは、高評価かつ価格も安めです。30日間の無料お試しも利用できるので、おすすめです。

メール内のURLに安易に飛ばない

スマホ決済にログインするためのIDやパスワードを盗まれないために、日頃からメール内URLに飛ぶときは細心の注意を払うべきです。

知らない人からのメールはもちろん、大手サービスからのメールも、よく確認すると安心です。

たとえば、auからのメールを偽って「AUお客様センター」という件名のメールを送ってきたケースがありました。「auが大文字でおかしい」と気づき、メールを読まずに削除するのが正解です。

利用中のサービスが重要なお知らせをメールで知らせるときは、公式サイトでも必ず告知をしているはずです。

お知らせが本当か確認したい場合は、自分で公式サイトにアクセスして、チェックすることをおすすめします。

登録プロセスを事前に確認する

新しいスマホ決済を使うときは、念のため二段階認証があるかなどを確認することをおすすめします。

今後もキャッシュレス決済の方法が増える可能性はあります。もし、スマホ決済アプリ登録後に不安を感じたら、アカウントを削除すると安心です。

ちなみに、PayPayやLINE Pay、楽天ペイなど、大手のスマホ決済アプリには二段階認証が入っています。

この記事と関連するページ