スマホ決済アプリのセキュリティ対策三原則 アカウント乗っ取りを回避

スマホセキュリティ

7payの不正利用問題が起きてから、スマホ決済のセキュリティ対策に関心を持つ人が増えています。

セブンペイでは、第三者にアカウントが乗っ取られ、本人が知らない間にクレジットカードチャージや支払いをされる被害がありました。

セブン&アイホールディングスという大手上場企業が開発したにもかかわらず、ニ段階認証がなかったことも明らかになっています(今は2段階認証あり)。

今後、スマホ決済アプリを利用するにあたり、セキュリティ対策を確認したい人も多いかと思います。

今回は、安全なスマホ決済の見分けるためのポイントを解説します。

ニ段階認証とは

セキュリティイメージ

7payで話題になったニ段階認証とは、ID・パスワードが他人に知られても、アカウントが不正利用されないよう守るセキュリティ対策です。

IDとパスワードを入力し、2段階めの認証でもパスワードを入力しないと、ログインできない仕組みです。

GoogleなどのITサービスだけでなく、銀行などの金融アプリでも導入が進んでいます。スマホ決済アプリでは、SMS認証が多い印象です。

SMS認証では、登録電話番号あてのショートメールで二段階認証パスワードを送ります。スマホが手元にないとクリアできないので、本人確認も兼ねています。

SMS認証以外にも、2段階認証の方法はいくつかあります。

2段階認証の具体例
SMS認証
電話番号あてのショートメールに送った暗証番号を入力。着信を受けて、電話口で読み上げた暗証番号を入力する方法も。
トークンアプリでパスワード発行
2段階認証専用のアプリを立ち上げて、ワンタイムパスワードを発行して入力。
導入例:三菱UFJ銀行、三井住友銀行
トークンカードでパスワード発行
専用電子カードでワンタイムパスワードを発行し、入力。
導入例:ゆうちょ銀行、ジャパンネット銀行、ソニー銀行
バックアップコード
マイページからバックアップコードを登録しておくと、二段階認証が使えなくなってもコードでログインできる、一度使ったコードは、一度ログインすると使えなくなる。
導入例:Google

トークンとは、「ワンタイムパスワード」を活用する二段階認証です。主に銀行のネットバンキングで使用しています。

スマホアプリや電子カードで、一度しか使えないワンタイムパスワードを発行し、一定時間以内に入力するとログインできる仕組みです。

パスワードは使い捨てなので、ワンタイムパスワードが流出しても不正ログインされる心配がありません。

日本初のネット銀行「ジャパンネット銀行」では、ワンタイムパスワードを自動生成する電子トークンカードを無料発行しています。

▼ジャパンネット銀行のトークンカード
ジャパンネット銀行のカード型トークン

電源ボタンを入れると、カード表面の右上にワンタイムパスワード番号を表示できます。ネットバンキングにログインするとき、この番号を入力すると、二段階認証が完了します。

三菱UFJ銀行や三井住友銀行は、トークンの物理カードではなく、トークンアプリでワンタイムパスワードを発行できます。

一方、Googleはバックアップコードという仕組みを採用しています。

二段階認証でログインしたあと、バックアップコードを設定します。スマホの破損や紛失などで二段階認証が使えなくなっても、設定したバックアップコードでログインできます。

バックアップコードも、一度ログインにすると使えなくなる使い捨てコードです。

設定したバックアップコードは印刷やメモで保管し、自分で管理する必要があります。

■Google バックアップオプションの設定方法

  1. Google 2段階認証プロセスのページからログイン
  2. SMS認証などでログイン
  3. バックアップコード下「設定」もしくは「コードを表示」を選択
  4. コードを印刷、もしくはダウンロードして保存

※Googleのバックアップコードは一度に10種類発行できます。すべて使い切ったら、新たなコードを発行可能です。

このような二段階認証がないサイトやアプリは、ID・パスワードなどの少ない情報さえ入手すればログインできてしまいます。

7payは二段階認証がなかったため、第三者が他人の7IDを乗っ取る事件が多発しました。

しかし、IDとパスワードは7payアプリから流出したとは限りません。他のサイトで、知らず知らずのうちにフィッシング被害に遭っている可能性もあります。

ID・パスワードが盗まれるのはネット上

スマホに手を添える

現在、最も個人情報が盗まれやすいのは、インターネット上です。

数年前のID・パスワード抜き取りは、スキミングが主でした。たとえば、ATMにスキミング機器を取り付け、カードを通した人の暗証番号をスキャンするなどです。

現在は、スパムメールやフィッシングメールによる被害が増えています。特に2018年からは、フィッシング詐欺が急増しました。

大手企業からのメールを装い、公式サイトになりすましたフィッシングサイトに誘導する手口は後を絶ちません。

フィッシングメールでは、AppleやAmazon、ゆうちょ銀行など、誰もが知っているサービスを名乗るケースが多いようです。

「まもなく有効期限が切れます。」「不正ログインの可能性があります。確認してください」といった不安をあおる文面で、URLをクリックさせようとします。

もしくは「キャンペーンの申込みはこちら」など、得する情報を偽るケースもあります。

数年前までは、「サイトが暗号化されているかを確認すべき」とされていました。暗号化対応をしているサイトは、URLの左型に鍵のアイコンがつきます

たとえば、iPhoneでdocomoの公式サイトを見てみると、以下のように表示されます。

暗号化サイト例

しかし今は、暗号化されたサイトが絶対に安全、と言い切れません。現在はフィッシングサイトの一部でも、暗号化されたサイトを使うケースがあります。

フィッシングサイトで抜き取った情報で、クレジットカードなどで決済をされる被害は相次いでいます。

7payの事件から、スマホ決済でもセキュリティ意識を高く持つ必要があることがわかりました。

自分でできるセキュリティ対策

スマホを持った男性

スマホ決済などのキャッシュレス決済をはじめ、ネット通信を使ったサービスは今やインフラのひとつです。ネットサービスを快適に使うためには、不正利用の対策が不可欠です。

これからスマホ決済を選ぶための判断ポイントと、ふだんから気をつけるべきポイントをまとめました。

■スマホ決済ユーザーができるセキュリティ対策

  1. パスワードを複雑にする
  2. メール内のURLに安易に飛ばない
  3. 登録プロセスを事前に確認する

パスワードを複雑にする

パスワード

まず、パスワードは複雑でオリジナリティのあるものにします。そうすることで、パスワードをランダムに入れる総当たり攻撃でログインされる可能性が低くなります。

あらゆるパスワードを総当たりで入力する暗号解読を、ブルートフォースアタックといいます。

■ブルートフォースアタック

可能なパスワードの組み合わせを1からすべて試す、力任せ攻撃。

人間が連想する言葉を優先的に試す「辞書攻撃」という方法もあるので、意味のない文字列のほうが安全です。

最近は、英語と数字混じりでないとパスワード登録ができないサービスも増えています。企業側も、複雑なパスワードを設定することを推奨しています。

強力なパスワードを作るなら、大文字の英語・小文字の英語・数字が混ざっている、長めの文字列がおすすめです。

利用サービスごとに違うパスワードを設定するのが理想ですが、管理が大変だと感じるかもしれません。

iPhoneユーザーなら、「iCloud キーチェーン」で強力なパスワードを自動生成し、ログイン時に自動呼び出しができます。

iCloud キーチェーンのような機能がある、パスワード管理アプリを利用するのもおすすめです。

ウィルスバスターを開発するトレンドマイクロ社の「1 Password」というアプリは、高評価かつ価格も安めです。30日間の無料お試しも利用できるので、おすすめです。

▼「1 Password」ダウンロードはこちら

メール内のURLに安易に飛ばない

メールイメージ

スマホ決済にログインするためのIDやパスワードを盗まれないために、日頃からメール内URLに飛ぶときは細心の注意を払うべきです。

知らない人からのメールはもちろん、大手サービスからのメールも、よく確認すると安心です。

たとえば、auからメールを偽って「AUお客様センター」という件名のメールを送ってきたケースがありました。「auが大文字でおかしい」と気づき、メールを読まずに削除するのが正解です。

利用中のサービスが重要なお知らせをメールで知らせるときは、公式サイトでも必ず告知をしているはずです。

お知らせが本当か確認したい場合は、自分で公式サイトにアクセスして、チェックすることをおすすめします。

登録プロセスを事前に確認する

スマートフォンを操作するビジネスマン

新しいスマホ決済を使うときは、念のため二段階認証があるかなどを確認することをおすすめします。

今後も、キャッシュレス決済の方法が増える可能性はあります。もし、スマホ決済アプリ登録後に不安を感じたら、アカウントを削除すると安心です。

ちなみに、PayPayやLINE Pay、楽天ペイなど、大手のスマホ決済アプリには二段階認証が入っています。

金融セキュリティの関連記事

この記事の執筆者

執筆者のおすすめ記事を読む
FP(ファイナンシャルプランナー)のライター。メガバンクとネット銀行の使い分け、投資、スマホ決済でのポイ活などで資産形成中。難しそうな金融の話を、わかりやすく解説します。

より良い情報をお届けするため、一条まつこ がメンテナンスを担当いたしました。(2019年7月9日 更新)

ありがとうございます。

質問・コメントはこちら
ページの先頭へ戻る