RSSおすすめ記事です

スポンサーリンク

中国のキャッシュレス事情 肩越しにQRコードを盗撮される事例が多発

ニュースキャッシュレス, セキュリティ

QRコード

スポンサーリンク

1: 名無しのシステムエンジニアさん 2019/03/04(月) 15:05:21.96 ID:CAP_USER


郭さんのスマホの支払い履歴。「ビリヤードクラブ」というまったく知らないところに999元を支払っていることになっている。1000元未満では、認証をしなくても支払いができることを利用した犯行だった。(陝西衛星テレビの報道番組「新聞午報」のYoutubeチャンネルより)

□QRコード決済がすでに日常になっている中国の落とし穴
日本でも、QRコードを利用したスマートフォン決済が増えてきている。しかし、評判は今ひとつのように感じられる。それは支払いに手間がかかるということに起因しているようだ。QRコード決済のやり方は2通りある。ひとつは、スマホを取り出し、アプリを起動し、自分のQRコードを表示する。これをレジでスキャンしてもらうと、レジに打たれた金額が送金されるというもの。アプリを起動して、QRコードを表示しなければならないのが煩わしい。

もうひとつは、逆に店舗側が印刷されたQRコードを掲示しておき、支払い客はスマホを取り出し、アプリを起動し、カメラを起動。店側のQRコードをスキャンし、金額を入力する。その金額に間違いがないことを店員に確認してもらい送金するというもの。支払い客がスキャンと金額入力をしなければならないのが煩わしい。

おサイフケータイやiDなどでの決済に慣れてしまった日本人なら、これだったら電子マネーでタッチするだけの方が楽じゃないかと考えてしまっても致し方ないところかもしれない。

QRコード決済の最大の利点は、店側にレジやスキャナーなどの装置が不要ということだ。スマホ1台あれば、スマホ決済の加盟店になれる。特に、後者の支払い客がスキャンと金額入力をする方式では、店側にはスマホ1台あればよく、レジやスキャナーは不要。設備投資がいらないことから、個人商店などでもっぱら使われる方式だ。

この「設備投資不要」という利点があったために、中国ではQRコード決済が急速に広がり、都市部では対応していない店舗の方が珍しくなっている。どこでも使えるから、利用者も増えるという好循環を生んでいる。中国のキャッシュレス決済比率は60%+程度だが、これは全国規模の数字で、都市部に限れば、90%以上になっているというのが実感だ。

これだけキャッシュレス決済が進むと、当然悪知恵を働かせるやつも出てくる。自分のQRコードをシールに印刷し、店舗が掲示しているQRコードの上に貼り付けてしまうという手口がポピュラーになっている。支払い客がお店にお金を払っているつもりでも、実際は犯人のアカウントに送金されてしまうというものだ。

さらに、駐車違反キップを偽造して、駐車違反の車に貼り付けて回る手口も有名になっている。本物の警察が、QRコード付きの駐車違反キップを発行していて、罰金をスマホ決済で支払うと警察署に出頭しなくていいという仕組みがあり、これを利用して自分のQRコードをつけた偽造違反切符をプリントし、駐車違反の車に貼り付ける。偽造だとは気づかない運転手が、せっせと罰金を送金してくれる。

このような「店が印刷したQRコード」(スタティックコード)の脆弱性は中国でも以前から指摘されていて、そのため、できるだけ「支払い客がスマホで表示するQRコード」(ダイナミックコード)を店舗側がスキャンすることが望ましいとされていた。スマホに表示されるQRコードには、アカウント情報だけでなく、時刻情報も入っていて、1分程度で、そのQRコードは無効になる。万が一、QRコードの写真を撮られて、他の店で利用しようとしても、無効になってしまうために安全だと言われていたのだ。

ところが、昨年、陝西衛星テレビの報道番組「新聞午報」が、新手のQRコードハッキングを報じ、大きな話題になっている。

長いので >>2 に続きます

2019年03月04日 11時00分更新
ASCII.jp
http://ascii.jp/elem/000/001/817/1817202/

2: 名無しのシステムエンジニアさん 2019/03/04(月) 15:05:31.30 ID:CAP_USER

>>1 から続く

□肩越しにQRコードを読み取るローカルな手口

防犯カメラに記録されていた犯行の瞬間。レジ前の郭さんが、右手にスマホを持ったまま注文をしている。背後の男が、郭さんのスマホを肩越しにスキャンしている。(陝西衛星テレビの報道番組「新聞午報」のYoutubeチャンネルより)

山西省晋城市に住む郭さんという男性が、ファストフード店のレジで注文をしていた。手にはスマホを持ち、すでに支払いのために自分のQRコードを表示している。ところがまだ注文も終わっていないのに、支払い完了を通知するバイブレーターが振動した。さらに、「ビリヤードクラブ」というところに999元(約1万6000円)を支払ったという通知が送られてきた。まだ支払のためのスキャンもしていないのにと郭さんは困惑した。

ところが、この郭さん、実は非番の警察官だった。何らかの犯罪に違いないと、すぐに店側に身分を明かして協力を求め、監視カメラの映像をチェックした。するとレジで並んでいる郭さんの背後に怪しい行動をとる男がいた。郭さんの肩越しにスマホをかざしている。そのスマホは、郭さんのスマホのQRコードの方を向いているように見えた。

監視カメラに映った服装などから、すぐに男は捕まった。この男は、QRコードを表示したままレジで注文している郭さんの肩越しに、QRコードをスキャンしていたのだ。カメラの解像度やQRコードの認識精度が上がっているため、数十センチ程度の距離からならじゅうぶんにQRコードをスキャンできてしまう。

QRコードで決済をするときは、何らかの認証も必要になる。パスワードを入力するか、指紋認証をするのが一般的だ。しかし、利用者から手間がかかるという声があり、認証が必要なのは1000元以上にして、999元以下の決済では認証を省略できる設定ができる。郭さんは、少額決済では認証を省略する設定にしていたため、知らない間に送金されてしまったのだ。

この事件は、大きな話題となり、各地の警察が注意喚起を行っている。警察は、「少額決済でも認証を必要とする設定にすること」「レジに並んでいる間は、QRコードを表示させないこと」などを勧めている。

□求められているのは真にセキュアな個人認証インフラ
QRコード決済は、店舗側も消費者側も手軽に利用できる仕組みだが、手軽であるがゆえに数々の脆弱性がある。そのため、中国の「アリペイ」「WeChatペイ」は、急速に「QRコード離れ」を起こしている。カフェや飲食店では、スマホに表示されるメニューから注文してもらい、決済までスマホ内で行ってしまうスマートオーダーなども普及し始めているし、顔認証決済も珍しいものではなくなっている。キャッシュレス決済の行きつく先は、真にセキュアな個人認証に紐づいたインフラだろう。QRコードは、あくまでも普及期に使うもので、キャッシュレス決済が日常に普及した今の中国では、よりセキュアな方式への切り替えが図られているようだ。

この事件を報道した陝西衛星テレビの報道番組「新聞午報」の動画。盲点となっていた方法で、QRコードがスキャンされ、999元が盗まれた。

 

250: 名無しのシステムエンジニアさん 2019/03/05(火) 13:09:15.95 ID:GWu4TROd
>>1
ほらやっぱりw
QRコード決済に弱点があるだろうとは思ってた

 

257: 名無しのシステムエンジニアさん 2019/03/05(火) 14:08:57.81 ID:xvbZoDWy
>>250
思ってたというか、みんな知ってた
そもそも今知られてる事例のほとんどは国内でマスコミがQRコードQRコードど騒ぎ出す前に既に発生が確認されてたからな

 

4: 名無しのシステムエンジニアさん 2019/03/04(月) 15:12:15.65 ID:1HqkSKAX

QRコードガ絶対!
QRコードが何より強い!
QRコードが未来のコード!!

っていったペイペイは、詐欺って事?

 

77: 名無しのシステムエンジニアさん 2019/03/04(月) 19:01:48.54 ID:s2Zwb07x
>>4
お店にシールを貼るやり方も次の日に入金あるのに入金しなかったらおかしいと思うだろ
すぐバレるよ
最も長くて1日ぐらいしか儲けらんないのにそんなリスク敢えてとるわけないだろ

 

187: 名無しのシステムエンジニアさん 2019/03/05(火) 06:53:54.95 ID:wIiH4sHt

>>77
次の日に入金するシステムなん?
Suicaとか電子マネーでも手間/手数料節約するために
入金は半月ごととか1ヶ月ごとにまとめて、だけど、

QRのは即時振込なん?凄いな。

 

188: 名無しのシステムエンジニアさん 2019/03/05(火) 06:57:28.97 ID:saOs0jsR
>>77
1日も持てば十分だろ
この手の犯罪は数をこなして稼ぐんだよ

 

6: 名無しのシステムエンジニアさん 2019/03/04(月) 15:18:42.00 ID:ZIpNbIcA
おサイフケータイや定期でキャッシュレス出来てんのに、わざわざアプリ起動が必要なQRコード決済は使わんよな。
ペイペイもキャッシュバックの時しか使わないんじゃない?

 

91: 名無しのシステムエンジニアさん 2019/03/04(月) 19:43:09.72 ID:0KbT1sko
>>6
そもそも買い物用途では利用率が低かったんだよな
日本では買い物もキャッシュレスだってのはもう無理だと思うわ

 

97: 名無しのシステムエンジニアさん 2019/03/04(月) 19:48:43.20 ID:yUATnezZ
>>91
QRがゴミなだけ
フェリカやクレカは普通に普及するだろうよ、日本人は異常に保守的で速度が遅いだけ
日本人は現金も普及まで数百年要した、平安中期まで都周辺でしか貨幣は使われず物々交換主流

 

125: 名無しのシステムエンジニアさん 2019/03/04(月) 22:27:30.08 ID:QdXBVhdE
>>97
Suicaの手数料下げれば普及の目もあるんだけどね

 

216: 名無しのシステムエンジニアさん 2019/03/05(火) 10:07:20.11 ID:Zbac+6p0
>>125
> Suicaの手数料下げれば普及の目もあるんだけどね
大差ないwそもそもすでに普及しているw
普及の眼が全くないのがQRなw誰も使いたがらないからだ。
お前だってそう思うだろう?

 

217: 名無しのシステムエンジニアさん 2019/03/05(火) 10:11:05.61 ID:MAURg8LL
>>216
バーコードをピッて読むだけなのにそんなに不便か?
手数料ゼロだし。

 

219: 名無しのシステムエンジニアさん 2019/03/05(火) 10:14:19.18 ID:Zbac+6p0

>>217
> バーコードをピッて読むだけなのにそんなに不便か?
凄い不便だねw

> 手数料ゼロだし。
それは関係ない、そもそも今だけだしな
てか、お前さ、要はお前も使えないと思ってるからそういうレスをするわけだよねw
つまりはお前も本音は俺と同意見、と言うわけだがw
QRを使う理由も言えない奴が普及するというとか頭がおかしいを通り越して滑稽w

 

223: 名無しのシステムエンジニアさん 2019/03/05(火) 10:26:45.33 ID:MAURg8LL
>>219
非接触ってなんつうか 味が無いんだよな。
無味乾燥と言うか・・・
QRならスマホ差し出して店員さんがバーコードリーダでピッってやってくれて
ああ、買い物したなって実感が有る。

 

224: 名無しのシステムエンジニアさん 2019/03/05(火) 10:29:51.78 ID:WO0C/fAp
>>223
何が違うのかさっぱりわからん
お前の感覚の問題なら逆のやつだっているしなんの意味もない話だな

 

228: 名無しのシステムエンジニアさん 2019/03/05(火) 10:53:23.32 ID:MAURg8LL
>>224
爺さん婆さんにはこういうほうが結構うけるらしいけどな。
ピッ w
どっかの記事で読んだ。若者よりキャッシュレスに好意的って。

 

10: 名無しのシステムエンジニアさん 2019/03/04(月) 15:26:21.84 ID:xxGKT0Qs
詐欺だと気付いた場合、QRコードでの決済された金額をQRコードの業者が停止/回収することできないの?
クレカみたいに保障でもいいけど。

 

74: 名無しのシステムエンジニアさん 2019/03/04(月) 18:51:16.05 ID:tSr2GZDe
>>10
デビットカード方式なら無理だろう。向こうに送金済みになってしまうから。
クレジットカード方式なら月締めだからできないことはないが,カード会社が個別案件に付き合ってくれるかというところだな。
「お客様の方でお店に問い合わせてください」
「だから,そのお店が知らない会社なんですけど」
「相手の方が判らない際にはこちらとしても対応いたしかねます」
とかといって突き返されることが日本でもよくある対応だし。

 

14: 名無しのシステムエンジニアさん 2019/03/04(月) 16:00:02.62 ID:JXQj3BKe
だから言ったろ。
QRでキャッシュレス決済の便利さに慣れてくると、より便利で安全なNFCやFeliCaへの移行が始まるって。
その始まりの時期はすぐそこまで来てるな。

 

79: 名無しのシステムエンジニアさん 2019/03/04(月) 19:04:51.60 ID:s2Zwb07x
>>14
お店側がもっと大きな金額とったら意味ねーじゃん

 

15: 名無しのシステムエンジニアさん 2019/03/04(月) 16:02:04.27 ID:aBV08j7J
QRコード自体は便利だけど
使い方間違ってるよね(´・ω・`)

 

16: 名無しのシステムエンジニアさん 2019/03/04(月) 16:22:14.86 ID:NgzEvTxI

FeliCaはセキュリティ凄いみたいに書きたいんだろうがFeliCaの方が電源オフでも決済できるからスマートなスリができちゃうんだがな。

だからFeliCaのリーダー/ライターはほぼ据置型

 

41: 名無しのシステムエンジニアさん 2019/03/04(月) 17:33:59.03 ID:BqFvX6GZ
>>16
ガラケー時代はそうだがスマホは指紋認証くらいあるやろ

 

48: 名無しのシステムエンジニアさん 2019/03/04(月) 17:45:13.58 ID:NgzEvTxI
>>41
今あるFeliCaの電子マネーはプラスチックカードをすでにばら撒いちゃったからPINコード入力や指紋認証を間に挟むことでセキュリティを保ちながら、市販のスマホやハンディターミナル型端末を決済端末化させると言ったことは不可能

 

53: 名無しのシステムエンジニアさん 2019/03/04(月) 17:49:23.27 ID:BqFvX6GZ
>>48
まあプラカードはあえて複数重ねていれとけば大丈夫やろ

 

18: 名無しのシステムエンジニアさん 2019/03/04(月) 16:34:58.43 ID:NgzEvTxI

QRコード決済でも紙にプリントしたのをスキャンする静的コードは危ないが、動的コード決済の方は非接触決済よりセキュリティは強い。
なぜなら電源オン状態で、アプリが起動していて、コードが表示されていないとスキャン出来ないから。

非接触決済は利便性高い分セキュリティはかなり危うい。だから、加盟店管理会社専売の、据置型の端末しか決済端末として使えない。

 

23: 名無しのシステムエンジニアさん 2019/03/04(月) 16:53:36.50 ID:myBuqyZM
>>18
動的コードでやられたという話なのさ

 

81: 名無しのシステムエンジニアさん 2019/03/04(月) 19:08:38.20 ID:s2Zwb07x
>>23
制限つけれるのに付けてなかったからじゃん
フェリカだと取り放題使い放題

 

22: 名無しのシステムエンジニアさん 2019/03/04(月) 16:53:01.75 ID:WwJvgHko
さんざん金ばらまいたのに普及する前にQRが下火になったペイペイ、哀れすぎる。

 

25: 名無しのシステムエンジニアさん 2019/03/04(月) 17:04:03.29 ID:r43cEqh4
交通系カードは、駅の改札のような超高速処理が全く必要無い小さな商店とかに向いてる
不必要な機能を省いた端末をこれから普及させるらしいよ
確かにときどき客が来る程度のいそがしさの商店に駅の改札のような高速処理とかは要らないな

 

82: 名無しのシステムエンジニアさん 2019/03/04(月) 19:10:45.21 ID:s2Zwb07x
>>25
それだとFeliCaの交通系カードを持った人が使えないって問題になるじゃん

 

154: 名無しのシステムエンジニアさん 2019/03/04(月) 23:45:06.89 ID:lm2QlOVv
>>82
なんで使えないの?今の改札よりは遅いってだけでしょ

 

179: 名無しのシステムエンジニアさん 2019/03/05(火) 03:31:23.00 ID:1SNftCxW
>>154
いや駅じゃなくてプリカじゃなくて非接触式で対応したお店の方だよ

 

27: 名無しのシステムエンジニアさん 2019/03/04(月) 17:06:33.37 ID:eSWBxY1K
やっぱ「QuikPay」が最強やな。
・簡単、
・安心、
問題は対応店がいまだ少ない点。
逆にそういう未対応の店は選択肢にないとも言える。
つまりセキュリティー上 安全とも言えるな。

 

36: 名無しのシステムエンジニアさん 2019/03/04(月) 17:18:09.09 ID:r43cEqh4
現金の利便性、信用度が高く、すでに交通系ICカードや各種のフェリカベースの
ICカード類、従来からのクレジットカードやデビットカードがすでに普及していて
成熟した金融環境を作っている日本では、QRコード決済も数ある決済手段の
メニューの一つとして加わる程度になるのでは?
発展途上国で競争相手が少ない環境でスマホ決済だけが爆発的に普及するような
状況とは日本はかなり違う

 

38: 名無しのシステムエンジニアさん 2019/03/04(月) 17:22:13.95 ID:Uliiud+p
QRはコストがかからないのが強みだって事を理解できない奴が何故こんなに湧いてくるのか

 

129: 名無しのシステムエンジニアさん 2019/03/04(月) 22:30:29.74 ID:QdXBVhdE
>>38
それは店側の強みであって、購入者には何の意味も無いからね

 

40: 名無しのシステムエンジニアさん 2019/03/04(月) 17:29:19.38 ID:bsrL+D4E
あれだけ無責任に中国凄い、QRコード凄いと煽ってたのにな。

 

83: 名無しのシステムエンジニアさん 2019/03/04(月) 19:13:08.21 ID:s2Zwb07x
>>40
今叩いてる奴はその頃から叩いてた奴だろ

 

51: 名無しのシステムエンジニアさん 2019/03/04(月) 17:46:06.77 ID:nY8gBzoh

元々、QRコードは、日本の自動車メーカーの部品企業が部品の管理に開発した代物。
日本の「デンソー」だったと思うが、そのQRコードを中国の悪徳業者が
悪用した。偽のQRコードを表示して詐欺を行ったから止まらないよね。

中国では品物も偽物ばかりだが、QRコードも偽物。

 

58: 名無しのシステムエンジニアさん 2019/03/04(月) 17:59:41.90 ID:kYWBlN6q
>>51
おそらく「電子かんばん」用だね
元々は

 

75: 名無しのシステムエンジニアさん 2019/03/04(月) 18:58:51.10 ID:mbk/Lbh3
やっぱりスイカ最強。
JR東は分社化して銀行やカード会社等と協業、普及させろ。

 

99: 名無しのシステムエンジニアさん 2019/03/04(月) 19:58:38.08 ID:z/oCDKC0
ブームは短かったなあ

 

109: 名無しのシステムエンジニアさん 2019/03/04(月) 21:24:00.44 ID:/wFYifYW
おサイフケータイやクレカがやっぱ最強だわ
QRコードは本当に前時代的で古臭く何よりエンドユーザーに使用負担を強いるだけで面倒
日本発ほおサイフケータイほどエンドユーザーに最適で最強な決済方法は未だに世界見渡しても生まれいないのが現状
本当に勿体無い

Posted by flac