キャッシュレス決済比率が初めて3割超え、スマホが金融端末化する裏で深刻化するセキュリティリスク

日本のキャッシュレス比率が初の3割超え、韓国は95％

スマートフォンを利用した「キャッシュレス決済」が可能な店舗が増えてきました。これは政府がキャッシュレス推進しているためで、経済産業省では2018年に「キャッシュレス・ビジョン」を発表しています。これによると、キャッシュレス決済は「物理的な現金（紙幣・貨幣）を使用しなくても活動できる状態」としており、主な支払い手段として、電子マネー、デビットカード、モバイルウォレット、クレジットカードを挙げています。

こうした取り組みにより、2021年のキャッシュレス決済比率は32.5％まで上昇したと2022年6月1日に経済産業省が発表しています。また、2022年4月には、キャッシュレス決済におけるQRコード決済の利用率が初めて電子マネーを超えたという報道もありました。ただし、キャッシュレス決済比率を世界的に見ると、韓国が94.7％、中国が77.3％、カナダが62.0％などと普及率が高く、日本は10位とまだまだ低い状況です（世界銀行などの調査：2021年公開）。

経済産業省によると、キャッシュレス決済の推進は、実店舗などの無人化・省力化、不透明な現金資産の可視化や流動性の向上など、不透明な現金流通の抑止による税収向上につながるとともに、支払いデータの利用による消費の利便性向上や消費の活性化など、国力強化につながるさまざまなメリットが期待されるとしています。また、2018年当時は日本のキャッシュレス決済が普及しにくい要因として、以下を挙げていました。

• 盗難の少なさや、現金を落としても返ってくると言われる「治安の良さ」
• きれいな紙幣と偽札の流通が少なく、「現金に対する高い信頼」
• 店舗等の「POS（レジ）の処理が高速かつ正確」であり、店頭での現金取り扱いの煩雑さが少ない
• ATMの利便性が高く「現金の入手が容易」

コロナ禍による在宅勤務で状況が一変

しかし、ここ数年で状況は大きく変わりました。新型コロナウイルスの感染拡大予防措置により在宅勤務が増え、外出する機会も大幅に減りました。そこで急激に伸びたのがオンラインショッピングでした。インターネットではクレジットカードが身分証明書の代わりになるため、決済もクレジットカードが基本になります。これによりクレジットカード決済が伸長しました。

また、同様に普及したのがQRコード決済（コード決済）です。いわゆる「○○ペイ」と呼ばれるもので、スマートフォンの画面に表示されたQRコードを店舗で読み取る、あるいはスマートフォンの「○○ペイ」アプリから店舗で表示されたQRコードを読み取ることで、決済を完了できるというものです。こうしたスマートフォンを利用した決済が増加したことで、店舗側もキャッシュレス決済に対応したレジを導入するようになりました。

スマートフォンには「金融端末」の側面も

スマートフォンを利用したキャッシュレス決済には、以前からキャリアの請求に上乗せする「キャリア決済」や、Suicaを代表とする「おサイフケータイ機能」を使った「非接触IC決済」、そして登録したクレジットカードを決済に使うこともできます。ユーザーは利用するサービスや購入する商品などによって、これらを使い分けることができます。スマートフォンによる決済が、キャッシュレス決済比率を押し上げている要素の1つといえるでしょう。

スマートフォンで利用できる金融機能は、これらだけではありません。多くの銀行がアプリを提供しており、残高の確認や振り込みなどが可能になっています。また、事業者の多くが銀行機能を提供し、ほぼ同等の操作が行えることに加え、キャッシュカードがなくてもスマートフォンでATMを利用できる機能の提供も始まっています。さらに、家計簿アプリでは銀行の口座情報から入出金状況を取得しており、まさにスマートフォンは「金融端末」でもあるのです。

決済が電子化し、スマートフォンで利用できるようになったことで、サイバー犯罪者に狙われるようになっています。一番多い手法はフィッシングです。フィッシングは、著名なサービスのふりをしてメールやSMS（ショートメッセージサービス）を送信し、本物そっくりな偽サイトに誘導して、ログイン情報（IDとパスワード）を入力させて盗み出そうとするものです。特に銀行をかたるフィッシングでは、ワンタイムパスワードや乱数表を盗もうとするものも確認されています。

また、インターネットショッピング（Eコマース）サイトを気づかれないように改ざんし、決済画面の前にエラーを表示し、再度ログインさせるケースもあります。この手法は「Eスキミング」と呼ばれ、最終的に正式な決済画面が表示されるため、ユーザーが被害に気づきにくいという特徴があります。なお、スキミングとはクレジットカードなどの情報を勝手に読み込むもので、ATMのカード挿入口にセンサーを取り付けるなどの手法があります。これをEコマースサイトで行うため、Eスキミングと呼ばれます。

サイバー犯罪者は、入手したログイン情報を使って、本人になりすまして不正送金を行ったり、ログイン情報を販売したりします。ログイン情報を買い取ったサイバー犯罪者は、それをさまざまなサービスで試します。IDとパスワードを使い回しているユーザーが多いため、他のサービスにログインできてしまうこともあります。それにより、サイバー犯罪者はさらなる悪事を働きます。

サイバー犯罪者はまた、スマートフォンの情報を悪用するために偽のアプリを公開することもあります。一般的に、懐中電灯などの便利機能を提供するアプリを装い、インストールされた端末から情報を盗み出そうとします。アップルやグーグルの公式アプリストアではチェックを厳しくしていますが、正当なアプリとして審査を通過した後でアップデートを行い、悪意のある機能を追加するケースもあります。

スマートフォンでサイバー被害に遭わないために

こうした被害に遭わないためには、何よりスマートフォンユーザーの意識が重要です。常にリスクを意識し、攻撃手法を理解し、危ういものは避けるといったセキュリティリテラシーを高める必要があります。たとえフィッシングメールを開いてしまっても、リンクをタップしてフィッシングサイトにログイン情報を入力しない限りは安全です。

もし急な対応をうながすようなメールが来ても、ブラウザからサービスにアクセスすれば、それが本当かどうか判断できます。まず、安易なリンクのタップはしないようにしましょう。

アプリストアの評価を信じるのは禁物

また、便利そうなアプリであっても、そのアプリ名や開発者名でインターネット検索を行い、正当なものであるかどうかや評価などを確認しましょう。公式アプリストアであっても、サイバー犯罪者は高い評価を大量に書き込んで評価を上げてしまいます。アプリストアの評価を信じることも禁物といえます。また、インストール時に表示される権限も確認しましょう。例えば、懐中電灯アプリなのにアドレス帳にアクセスするような場合は怪しいといえます。

スマートフォンにセキュリティ対策アプリを導入することも有効です。不正アプリをインストールさせようとするメールやフィッシングメールを検知できますし、インストールしようとしているアプリが悪影響のないものかどうかも教えてくれます。この他にも決済情報を保護する機能や、セキュリティの弱いWi-Fi（公衆無線LAN）に接続することにも注意を促してくれます。万一の紛失や盗難の際にも、場所を割り出し、遠隔ロックや遠隔消去できるものもあります。

さらに、スマートフォンやユーザーの操作に問題がなくても、利用しているサービスがサイバー攻撃を受ける、設定ミスやサービス上の脆弱性を悪用されてしまうといったことも考えられます。その場合は、ユーザー情報の漏えいなどの被害が考えられますので、そうした報道や各種のアラートなどがあったら利用を中止し、サービス提供元からの報告を待ちましょう。

スマートフォンは非常に便利な反面、重要な情報もたくさん記録されています。これらが盗まれて被害に遭わないように、日頃からリテラシーを高めて安易な操作を慎みましょう。また、紛失や盗難にも対応したセキュリティ対策アプリを導入することも重要です。

エンドポイントセキュリティ確保に企業が急ぐEDR導入

多数の従業員を抱える企業は、スマートフォンをはじめとするエンドポイントのセキュリティを確保するために、いまEndpoint Detection and Response（EDR）の導入を急いでいます。EDRとは、PCをはじめスマートフォンを含めたエンドポイントを狙った標的型攻撃や、ここ最近特に増えているランサムウエア攻撃などの高度な脅威を検知し、迅速に対応するためのソリューションです。EDRの運用には高度なセキュリティ知識が必要とされます。

例えば、ラックでは数多くのインシデント対応実績を持つサイバー救急センターが、企業に代わってEDRの運用を支援しています。EDRで発生したアラートを24時間365日常時監視し、アラートが発生した際には対象端末を即時ネットワークから切り離し侵害拡大を防止します。

ここまで見てきたように、コロナ禍の在宅勤務なども手伝う形でキャッシュレス化が進むにつれて、スマートフォンの登場シーンは今後ますます増えることが予想されます。ランサムウエア被害で日本の大手製造業が操業を停止せざるを得なくなるという事件が実際に発生しており、スマートフォンなどのエンドポイントセキュリティの確保を、これまで以上に真剣に考える時期がやってきています。

プロフィール

吉澤 亨史（ITジャーナリスト）
1996年にフリーランスライターとして独立。セキュリティ、エンタープライズITを中心に、ソフトウェア、PCなど幅広い分野で取材活動に従事する。雑誌やウェブメディアを中心に特集記事、ニュース、コラムなどを執筆している。