Recently the Nihon Keizai Shimbun Electronic Edition
reported the following:
QR決済に潜むリスク、中国で偽コード使う詐欺
ネット・IT 中国・台湾
2019/4/29 4:30日本経済新聞 電子版
飲食店の支払いや飛行機の搭乗手続きなどで使われるようになってきたQRコード。消費者にとって便利な決済手段になりつつあるが、一方で安全性をどう確保していくのか課題もみえてきた。QRコード先進国と言われる中国では偽造コードを使った詐欺が起きている。日本でも急速にサービスが普及するなか、対岸の火事とは言えない。
「既に振り込んだのに、なぜもう一度払わなければいけないんだ」。上海市内の男性会社員は怒りが収まらない。男性は駐車禁止エリアに車を止め、仕事を終えて車に戻ると違反切符が貼られていた。「支払いはこちらをスキャンしてください」と書かれたQRコードが印刷されていた。
男性はスマートフォン(スマホ)でQRコード決済「微信支付(ウィーチャットペイ)」を使ってコードを読み取り、200元(約3300円)を支払った。しかし、その数日後、警察から「まだ罰金が支払われていないので早急に払うように」という催促の通知が送られてきた。
男性の車に貼られていた違反切符は偽物だった。QRコードは偽物の切符を作った個人のウィーチャットペイのアカウントで、プロフィルには警察官の衣装を着た男性の写真が掲載。パッと見ただけでは気付かなかったそうだ。
中国ではQRコードを使った偽物の違反切符を利用した詐欺が多発。警察が「QRコード付きの違反切符は必ず警察官が違反者に手渡す。車に貼るのはQRコードが付いていない違反切符だけ」と注意を呼びかける事態となった。
ウィーチャットペイや「支付宝(アリペイ)」といったQRコード決済が普及する中国では、こうした詐欺が少なくない。街中の青果店や屋台でも店先にウィーチャットペイなどのQRコードを掲示している。偽物のコードにすり替えられるなどして、知らぬ間に店の売り上げをだまし取られるケースもある。
見た目で正否判別しにくく
なぜこのような手口が横行するのか。神戸大学の森井昌克教授(情報通信工学)は「QRコードはパッと見ただけでは正しいものなのか判別しにくいから」という。一般の人には単なる白黒の斑点にしかみえない。偽物のQRコードが貼られていることに気付かなければ、決済処理してしまうのも無理はない。
ただ偽物のQRコードが重ねて貼られたりしていないかをチェックすれば、未然に詐欺を防げる場合もある。問題になりそうなのはQRコードの特長を逆手に取った「抜け穴」だ。QRコードはスマホの画面で四角形の白黒の模様を読み取る。模様に少しの汚れがあったり、わずかな欠損があったりしても、自動補正できるレベルなら、QRコードを読み取ることができる。
森井氏は18年、QRコードの白黒の斑点のある部分を灰色に変えることで、不正なウエブサイトに誘導できる恐れがあると指摘した。現在はQRコードを構成する正方形の粒をわずかにゆがめるだけでも誘導できるという。
記者は、森井氏が独自に作ったQRコードをスマホのアプリで読み取ってみた。スマホをかざす角度を変えて何度か読み取ると、神戸大のホームページに移動する場合もあれば、別のホームページに移動することもあった。
日本で広がる可能性も
QRコードを使った詐欺などの不正が日本でも増える可能性は否定できない。TriForceコンサルティング(東京・港)はデジタル署名を組み込み、改ざん不可能なQRコードを利用した本人認証システムを開発し、年内に提供する。利用者が電子商取引(EC)サイトなどで買い物をする際、その都度発行されるQRコードを専用のスマホアプリで読み取ると、IDなどを入力しなくても本人認証できる。
メディアシークはQRコードの不正検知システムを開発した。スマホ決済でコードを読み取る時に不審なURL表示が出た場合、アプリ上の通報ボタンを押すと同社のサーバーに不正情報として記憶される。その後は読み取り時に注意喚起してくれる仕組みだ。野村総合研究所傘下のNRIセキュアテクノロジーズ(東京・千代田)もQRコード事業のリスクを検証するサービスを始めており、不正対策ビジネスは広がりつつある。
(吉田楓、上海=松田直樹)
Translation
QR code was being used in restaurant payments and flight
check-in procedures. It was becoming a convenient means of payment for
consumers, but at the same time we had seen some issues about how to ensure its
security. In China, which was said to be a QR code developed country, fraud had
occurred due to fake code. With the rapid spread of its services in Japan, it could
not be said that it was a problem of someone else.
"I have already paid, why do I have to pay again?"
A male office worker in Shanghai could not withhold his anger. The man parked his
car in a no-parking area, and when he finished his work and returned, he saw a penalty
ticket. The QR code was printed with a writing saying that "Please scan
this for payment".
This man uses a smartphone to scan the QR code to make
payment through “We-Chat-Pay” and paid 200 yuan (about 3300 yen). However, a
few days later, a notification was sent by the police saying, " as the
fine has not been paid, please pay it as soon as possible ".
The ticket on the men's car was a fake. The QR code was in a
Wee-chat Pay account of the man who made the fake ticket, its profile had a photo
of a man dressed in a police officer's costume. It was said that one could hardly
notice a fake just by looking at a glance.
In China, frauds in fake tickets to be paid by QR codes were
frequent. The police warned that "tickets to be paid QR code must be
handed to the offender by the police officer. Only the ticket without a QR code
will be put on the car."
In China where QR code payments such as We-Chat-Pay and
Alipay were widespread, as such, fraud was not uncommon. QR codes such as those
by We-Chat-Pay were posted at the storefronts of greenery stores and other stalls
around the city. In some cases, for example, they could be replaced by fake
code, and the store's sales could be fooled unknowingly.
It is difficult to
judge correctness by appearance
Why was this practice rampant? Professor Masakatsu Morii of
Kobe University (Information and Communication Engineering) said, "It is
difficult to tell if a QR code is genuine by just looking it at a glance." For ordinary people, it was only black and white dots. If you did
not notice that a fake QR code was being put up, it was not unreasonable to process
the payment.
However, you might be able to prevent fraud in advance if
you checked whether fake QR codes were put up repeatedly or not. What could
likely to be its problem was its "loophole"- that there were unexpected
twists in taking advantage of the merit of the QR code. The QR code was read using the screen of the smartphone by scanning the black and white pattern of the
rectangle. Even if there was a slight stain or slight defect in the pattern,
the QR code could be read if it was within the levels of automatic correction.
Morii pointed out in 2018 that turning black and white dots
in the QR code into gray could lead one to a fraudulent website. At present, reading
could proceed even the square dots that make up the QR code was slightly
distorted.
The reporter tried reading the QR code which Mr. Morii made
originally using the application of the smartphone. When changed the angle in
holding the smartphone to read it several times, even if it was moving towards
the homepage of Kobe University, sometimes it moved to other homepages.
The possibility of
spreading in Japan
It could not be denied that fraud such as fraudulent use of
QR code might increase in Japan. TriForce Consulting (Tokyo, Minato)
incorporated a digital signature, developed a user authentication system using
non-tamperable QR code, and it would be available by the end of the year. When
a user purchased at an electronic commerce (EC) site or the like, if the QR
code issued for that transaction was read by a specific smartphone application,
the user could authenticate oneself without inputting an ID or the like.
Media Seek had developed a QR code fraud detection system.
If a suspicious URL was displayed when one read a code by smartphone payment,
by pressing the report button on the application it would store up this in the
company's server as fraudulent information. After that, there would be a
mechanism to alert you when you read this code. NRI Secure Technologies (Tokyo,
Chiyoda), a subsidiary of Nomura Research Institute, had also launched a
service to inspect QR code business risk, and the anti-fraud business was
expanding.
So, to
develop anti-fraud know-how is a big business opportunity, as always.
沒有留言:
張貼留言