スマホ決済アプリ、不正利用が巧妙化…SMSのリンクはクリックNG、カード登録の注意点

　消費税率10％への引き上げとともに始まった、キャッシュレス決済でのポイント還元事業。その利用状況に関する調査が、あちらこちらから発表されつつある。それを見ると、とはいえ現金決済の割合は高く、キャッシュレスに前向きでない層は一定数いるとわかる。

　その理由はいくつかあるが、やはりネックは「セキュリティが不安だ」という声だ。PayPayが2019年7月に実施した調査でも、使わない理由のトップがそれだったという。PayPay自体、18年12月にユーザーが不正利用の被害に遭い、世間の信頼を大きく損ねた経験がある。また、19年7月には鳴り物入りでスタートした7pay（セブンペイ）が不正アクセス事件を引き起こしたことも記憶に新しい。

　キャッシュレス決済は情報流出しやすく、身に覚えのない請求をされてしまうのではないか……そんな怖れを抱くのは仕方がないだろう。特に、スマートフォンが決済のツールと化した今では、財布を落としたとき以上のダメージがある。決済アプリには、残高だけでなくカードや銀行口座の情報が紐づいている。昨今は、スマホでネット銀行や証券会社の取引をしている人も多いだろう。もし落としたら……と思うとぞっとする。ロックやパスワードをかけているとはいえ、だから絶対安心とは言い切れないほど、犯罪者側のITスキルは高いのだから。

　決済事業者側のセキュリティだけに期待するのではなく、我々自身が自己防衛することも欠かせない。不正利用に巻き込まれないためにも、できることを考えてみたい。

とにかく心配な人は現金チャージのみでの利用も

　スマホ決済アプリを利用するには、銀行口座やカード（クレジット、デビット、プリペイドなど）を登録する必要がある。

　銀行口座の場合、その残高から事前に一定額をチャージしたり、即時引き落とし元として使う。カードの紐づけでは、決済した金額をそのカード経由で引き落とすことになる。登録できる銀行は決済アプリによってどこが利用できるかまちまちで、複数のアプリを使うと複数の銀行を登録しなくてはならないこともあり得る。

　クレジットカードの場合も、アプリによってもっともメリットがあるカードが異なるため（たとえばPayPayならYahoo！JAPANカード、楽天ペイなら楽天カードというように）、複数のカードを登録している人も多いはずだ。

　還元率が魅力のキャンペーンに参加したいとは思うものの、銀行口座やカードをなるべくスマホに登録したくないというなら、現金チャージだけで使うと決めるのもひとつの考え方だ。

　PayPayやLINE Payはセブン銀行ATMでチャージが可能だ。PayPayはATMを操作し、そこに表示されたQRコードをスマホで読み取った上で案内に従って入金する仕組み。LINE Payも同様の手法で入金できるが、LINE Payカード（JCB付きプリペイドカード）をつくっておけば、ATMにそれを挿入し、続いて現金を入金すると、アプリへも残高が反映されるので手軽だ。筆者はLINE Payのチャージにはこのカードを使うことが多く、非常に重宝している。

　ただし、ATMでのチャージは1000円単位で金額指定はできない。1万円札をATMに入れて5000円だけチャージしたい、という使い方はできないので、そこは注意。

カード番号やパスワードの流出をどう防ぐか

　昨年の年末に騒ぎになったPayPayの不正利用は、すでに流出していたカード番号が紐づけに使われたことが原因だとされている。不正に入手したカード番号をアプリに登録し、それで決済を繰り返したということだ。その後、PayPayはセキュリティコードを含むカード情報の入力回数制限や本人認証サービス（3Dセキュア）の導入などの対策を取り、その結果、第2弾の大型キャンペーン時の不正利用は0.0004％まで減少したという。さらに、万が一の補償体制も整えた。

　しかし、決済業者側がどれほど対策を取ろうとも、そもそもカード番号やセキュリティコードが盗まれているという事実を忘れてはいけない。ジャパンネット銀行でサイバーセキュリティを担当するIT統括部の岩本俊二部長によれば、カード番号の不正利用を完璧に防ぐ手段はないという。

　それでもできる自衛策としては、当たり前だが、怪しげなサイトでカード番号やパスワードの入力は行わないこと。実在するサイトを装ったメールの文章内にリンクが貼ってあり、「ここをクリックしてください」と書いてあると、つい従ってしまいがちだが、それも危険で、偽サイトに誘導させられてしまう可能性がある。クリックはせず、正規サイトを事前にブックマークしておくのがいい。

　しかし、岩本氏によれば、ネット検索でもSEO対策をした大手ECサイトそっくりの偽サイトが上位にくることがあるという。サイトのURLに不審な点はないかなど、しっかり確認したほうがいい。何度もパスワードを打たせたり変更を要求したりする場合は、おかしいと思ったほうがいいようだ。

急増する「スミッシング詐欺」とは

　こうしたフィッシングの手口で増えているのが、スマホに届くSMSを使ったフィッシング＝スミッシングだ。携帯キャリアや宅配業者を装ってSMSを送信、URLをクリックさせ、偽サイトに誘導する手口。

　キャリアを装う場合、たとえばドコモなら、まず偽サイトでアカウントとパスワードを入力させ、加えて本人確認として銀行口座の情報を入力させてログインパスワードなどを盗む。さらには、銀行のワンタイムパスワードまで入力させる。セキュリティ面で信頼性が高いとされるワンタイムパスワードを使用しても、被害者自身が入力してしまえば、ものの数十秒で口座から不正送金がされてしまう可能性がある。なかには「エラーです。もう一度入力してください」と何度も繰り返され、それが不正送金やATM出金の時間稼ぎになっているのでは、ともいわれる。

　さらには、もし自分のスマホからうっかりフィッシングサイトを開いてしまい、勝手に偽アプリがダウンロードされてしまうと、スマホのアドレス帳をたどって知人にスミッシングのSMSがばらまかれる可能性もあるという。

「とにかくSMSのリンクはクリックしない。たとえ正規のものであってもしないくらいの慎重さが必要」（岩本氏）と覚えておこう。

　実は、筆者も先日「お客様宛にお荷物のお届けが――」というSMSが届いたが、無視することにした。商品を買った覚えもないし、そもそも携帯番号はECサイトに登録していないので、スマホにメッセージが届くわけがない。不在通知も入っていなかったし、本当の荷物ならいつかは届くだろう。

　残念ながら、犯罪者側の手口は日々巧妙化している。私たちがどんなに気を付けていても、絶対はない。まずできることは、スマホにも必ずウイルス対策ソフトを入れる、スマホ本体やアプリのセキュリティ設定を確認する、決済に紐づけているカードや口座をなるべく増やさない、理想をいえば、決済元の口座には多額のお金は入れないのが望ましい。

　キャッシュレス決済は便利さとオトクさがメリットだが、使う側の管理意識も問われる。自分のお金は自分が守るという心構えは、常に持つべきだろう。

（文＝松崎のり子／消費経済ジャーナリスト）