急増!要注意!スマホ決済やAmazonPayなどのいわゆる「〇〇ペイ」の不正利用
最近、皆様の関わっていらっしゃるECサイトでは、決済関係、とくに不正利用の被害は発生していませんでしょうか?実際に発生されている方は、減っている?増えている?どちらでしょうか。
皆様には釈迦に説法ですが、ここ数年クレジットカードの不正利用は大変多くなっており、3Dセキュア2.0の必須化だけでなく、各決済関連会社による不正利用対策サービスの開発販売、また各保険会社からは不正利用もカバーするような商品もでているようですが、つまり、既存の技術やサービスだけでは完全に防げない「いたちごっこ」が続くからこそ、新たなサービスが日々生まれては消えて行っていることの現れだと思います。
各ECショップ様やカートサービス様とのお打ち合わせでも、近年のクレジットカードの不正利用とそれに伴うオーソリ率の低下など決済に関する議題は、数年前からほぼ毎回上がってはいたのですが、それに加えて最近ホットになりつつある議題としては、スマートフォン決済やAmazon Payなどのいわゆる 「〇〇ペイ」での不正利用に関するものです。
こういった決済の場合、各事業者がログイン認証を行っているという条件が根底にあるため、カラム入力だけで利用できるクレジットカードとは異なり、なりすまし決済ができないのではないかと期待して導入されることが多いと思います。
とくに最近、各提供会社の営業担当者が、「うちの〇〇ペイは、なりすまし利用ができないので、不正利用がなくなりますよ」「うちの〇〇ペイでは規約上明記していませんが、万が一不正利用があった場合は被害額を補償します」などの、かなり魅力的なセールストークがかけられることも多いとお聞きします。
私の担当するショップ様でも、クレジットカードの問題で悩みが尽きなかった背景があり、こういった営業担当者の言葉のひとつひとつが、あたかも救世主が現れたように感じられたようで、昨年頭くらいから「〇〇ペイ」を複数ならべて、利用者にもこれらで支払うよう誘導するケースが増えていました。
そして実際に導入された結果なのですが、導入直後はそれらの決済では不正利用がなく万々歳!となり、決済方法の選択画面では、クレジットカード決済の選択肢はほとんど気づかれないような下の方に位置させ、「〇〇ペイ」だけを目立つ場所に表示させるようレイアウト変更して、めでたしめでたし、、、と実感されていたショップ様も複数ありました。
しかしながら数か月が経過した夏の終わり頃、期待通り「〇〇ペイ」の利用割合が多くなったところで、それらでの不正利用が発生し、しかも一気に件数が増えてきてしまいました。
スマートフォン決済の場合、クレジットカードのように番号そのものが漏洩しているとは考えにくいことや、辞書攻撃でランダムにアタックできるようなものではないため、なぜ不正利用が発生するのかについては、現在も各携帯会社が不正利用ごとの原因を調査しているようですが、スマホ端末自体が乗っ取られて利用されてしまったというケースが調査結果のひとつとして出ており、新たな悩みが生まれています。
具体的な手法としては、SMS(ショートメッセージ)を利用した詐欺が多いとみられ、たとえば宅配業者になりすまし「不在連絡」「再配達のご案内」といったSMSをランダムな電話番号に送り付け、そのメッセージ内のURLにアクセスしてきた端末に、遠隔操作を行うボットを仕込むというような方法が目立っているようです。
その他の方法としては、野良アプリ(正規のアプリストア以外の方法でダウンロードしたアプリ)や、正規のアプリストア経由であってもセキュリティ設定が甘いアプリをインストールしていたために、そのアプリ経由で攻撃者に入られてしまった・・・というケースもあるようです。
またAmazonPayなどの場合は、アカウントが不正ログインされるという正面突破型の不正利用も珍しくないとみられ、対策方法についてAmazon側から提案されたショップ様もあるようですので、すでに2024年1月現在、当初期待していた「〇〇ペイ」導入による不正利用への効果は薄くなっているのかもしれません。
ちなみに被害にあったショップ様への補償対応についてヒアリングしたところ、各「〇〇ペイ」導入時に“不正利用の被害にあわれた際には補償します”と言われていたにもかかわらず、補償申請に対してなにがしかの理由をつけられて対象としてもらえず、被害者(ユーザ)にはショップ様から返金処理を行った、という結果になっていると複数のケースでお聞きしています。
※なおPayPayは公式サイトを見る限り、ユーザへの補償も、被害にあった事業者への補償も対応する旨の記載がありましたので、実際に被害が発生した場合は対応してもらえるのではないかと期待しています(皆様の周りで、実際に被害と補償を経験されたショップ様がおありでしたら教えてください!)。
今後も決済周りに対しては、クレジットカードの不正利用を防ぐ認証方法の発明や、新たな決済手段の誕生など、ひとえに技術革新を望むばかりですが、その一方、そういった新技術をもすぐに乗り越えてくる不正利用技術者の開発技術が、何かもっと良い方向に活かされないか、そればかり祈っている今日この頃です。