スマホ決済を狙った犯罪が増加？
被害に合わないための7つの対策

スマホ決済を狙った被害が増加

キャッシュレス決済の一種である「スマホ決済」は、スマートフォンにインストールしたアプリを使用した決済手段のことを指し、「非接触型IC決済」と「QRコード決済」に分類されます。

非接触型IC決済ではクレジットカードや電子マネーをスマートフォンに登録し、料金の支払時にスマートフォンを専用端末にかざして決済を行います。QRコード決済は、スマートフォン画面に表示されるバーコードを店舗側で読み取ってもらうか、店舗のQRコードを読み込んで決済します。

そして冒頭触れたように、いまこのスマホ決済を狙った犯罪に対する脅威が高まっています。

経済産業省の外郭団体である独立行政法人「情報処理推進機構」（IPA）は2021年8月、「情報セキュリティ10大脅威」の2021年版を発表しました。

この調査は、社会的に影響が大きい情報セキュリティに関する事案を選出・審議したもので、「個人」部門と「組織」部門でそれぞれランキングが公表されています。

このうち個人部門の1位は「スマホ決済の不正利用」でした。「スマホ決済の不正利用」は2020年版の調査でも個人部門で1位にランクインし、2年連続で首位となっています。

スマホ決済における代表的な犯罪手口のパターン

スマホ決済を狙った犯罪手口は年々多様化しつつありますが、犯罪被害に遭うことを防ぐためにも、代表的な犯罪手口のパターンを知っておきましょう。ここでは、「フィッシング詐欺」「アカウントリスト攻撃」「辞書攻撃」「脆弱性を悪用した攻撃」の4つを紹介します。

フィッシング詐欺で情報を盗み取られる

フィッシング詐欺とは、正規の事業者を装ってIDやパスワード、クレジットカード番号などを盗み取ろうとする手口です。最近ではスマホ決済サービスの事業者を装ったケースが目立ちつつあります。

アカウントリスト攻撃で不正ログインされる

スマホ決済サービスのIDやパスワードを突き止められ、アカウントを不正利用される乗っ取りの手口も脅威です。

IDやパスワードが突き止められる手口のひとつに「アカウントリスト攻撃」があります。この手口は、他のサービスで不正に入手したIDとパスワードのセットを使って、スマホ決済サービスへのログインを繰り返し試すというものです。

万が一、ログインに成功された場合、登録していたクレジットカード情報を悪用されてしまう恐れがあります。

辞書攻撃で不正ログインされる

IDやパスワードが突き止められる手口としては、「アカウントリスト攻撃」のほかに「辞書攻撃」もあります。辞書攻撃では、IDやパスワードに使用されがちな単語や人名などが登録された「辞書リスト」が使用されます。リストに登録されている単語や人名をランダムに組み合わせて何度もログインを試し、アカウントを乗っ取ろうという手口です。

アカウントリスト攻撃と同様、ログインに成功された場合は被害に遭う可能性が高くなります。

脆弱性を悪用した攻撃で、アカウントが乗っ取られる

スマホ決済サービスや専用アプリは情報セキュリティ上の欠陥、すなわち「脆弱性」を抱えている場合があり、この脆弱性を悪用する犯罪者もいます。実際に、こうした脆弱性を狙ってアカウントが乗っ取られる事件が発生しています。

スマホ決済で被害に合わないための7つの対策

続いて、実際に被害に遭わないための対策を説明します。

（1）IDやパスワードを使い回さない

アカウントリスト攻撃を防ぐためには、複数のサービスで同じIDやパスワードを使い回さないことが重要です。また、辞書攻撃を防ぐためには、なるべくランダムな文字列のIDやパスワードを設定することが理想的です。

（2）SMSやメールのリンクを安易に開かない

怪しいSMSやメールに記載されたリンクは、安易に開かないようにしましょう。メッセージの日本語に違和感を感じる場合や、見慣れないアドレスからのメールは要注意です。

（3）本物のウェブサイトかどうかを慎重に確認

Webサイト上で個人情報を記入する場合は、開いているページがフィッシング詐欺目的のものではないか、慎重に確認しましょう。サイトのドメインに違和感を感じないか、「https://」で始まるURL（SSL認証されているURL）となっているか、などを確認するとよいでしょう。

（4）アプリを最新バージョンに保つ

アプリの脆弱性を悪用した手口を防ぐためには、常にアプリを最新バージョンに保っておくことが重要です。アプリはバージョンアップを繰り返しながら、セキュリティを高めたり、脆弱性を解消したりしているからです。

（5）盗難時に遠隔ロックができるように設定

スマートフォンの盗難被害に遭ったときに備え、自身のスマートフォンをリモートでロックできるように設定しておくことも重要です。この対策は、追跡アプリなどを使って事前に設定しておくことが必要不可欠なので、すぐにでも取り組んだほうがよいかもしれません。

（6）不審な「フリーWi-Fi」に接続しない

スマホ決済を狙った犯罪に限ったことではありませんが、不審なフリーWi-Fiを利用しないことも重要です。悪意を持って電波を飛ばしているフリーWi-Fiに接続すると、容易に通信内容を盗まれてしまい、フィッシング詐欺と同じように重要な情報を盗み取られる被害に遭う可能性が高まります。

（7）「乗っ取られました」というメッセージをクリックしない

画面に「乗っ取られました」などというメッセージが出ても、焦ってそのメッセージをクリックしないでください。スマートフォンのシステムが通知したメッセージに見せかけ、フィッシングサイトに誘導することを狙っています。

インターネットバンキング被害も同じ視点で防ごう

スマホ決済を狙った犯罪に対する対策は、インターネットバンキングを狙った犯罪から身を守るためにも防げます。

フィッシング詐欺に対する対策は万全に

インターネットバンキングでも、フィッシング詐欺によってIDやパスワードを不正入手されるケースが起きています。そのため、SMSやメールのリンクを安易に開かないことや、不審なフリーWi-Fiに接続しないことなど同様の対策を怠らないようにしましょう。

パスワード表などをクラウド上に保管しない

インターネットバンキングの管理画面にログインする際には、ランダムな数字や英字が記載された「パスワード表」（乱数表）が必要になることがあります。このパスワード表は紙のカードに印刷されていることから、サイバー攻撃に対するセキュリティを高めます。

ただし、このパスワード表をクラウド上で保存してしまうと、ハッキング被害に遭った際にその情報が流出してしまいます。パスワード表をクラウド上で確認できると便利ではありますが、便利さを優先してしまうと思わぬ被害につながってしまうので注意が必要です。

日ごろから万全の対策と情報のアップデートを

スマホ決済やインターネットバンキングを狙った犯罪の手口を知り、万全の対策をしておけば、被害に遭いにくくなります。

一方、こうした犯罪の手口は巧妙さが増す一方であることから、日ごろからサイバー攻撃に関するニュースなどにも目を通しておくようにしましょう。