2019年6月6日、スマートフォン決済サービス「ペイペイ(PayPay)」を巡る大規模な不正利用事件の詳細が、愛知県警などの捜査で明らかになりました。この事件は、単なる個人情報の流出にとどまらず、本人認証の仕組みを悪用し、正規の手順をすり抜けてアカウントが不正に作成されるという、極めて巧妙な手口が使われていたことが判明しています。キャッシュレス化が加速する社会において、私たち利用者だけでなく、サービスを提供する企業側にも警鐘を鳴らす重大な事態であるといえるでしょう。
詐欺グループは、実在する宅配業者である佐川急便を装ったショートメッセージサービス(SMS)をターゲットのスマートフォンに送信していました。SMSは、電話番号を宛先として短いメッセージを送受信する機能のことです。この偽メッセージを開封し、誘導された偽サイトでウイルスに感染させられた結果、被害男性の携帯電話番号などの情報が盗み出されました。その後、驚くべきことに、感染からわずか1時間以内に、盗み出した電話番号を使ってペイペイのアカウントが勝手に作成され、不正利用が開始されたのです。この手口は、近年増加しているフィッシング詐欺の亜種であり、日常に紛れ込んでいるため、非常に気づきにくいのが特徴です。
逮捕されたのは栃木県那須塩原市の無職の男(21)で、他人名義のクレジットカード情報が登録された不正アカウントを用いて、約35万円分の電化製品を購入した疑いが持たれています。男は「雇われてやった」と供述しており、背後には大規模な詐欺グループの関与が強く疑われている状況です。この事件の最も恐ろしい点は、ペイペイの通常のアカウント作成手順、すなわち、携帯電話番号の入力、パスワード設定、そしてスマホにSMSで送られる4桁の認証コードの入力という、第三者による作成を防ぐためのセキュリティステップが、何らかの方法で突破されていたことです。
本来、認証コードはアカウント作成を試みた本人のスマホに届き、これを入力しなければアカウントは完成しません。しかし、今回は被害男性のスマホに認証コードが届かず、インストールされたウイルスが認証コードを詐欺グループ側に不正に把握させた可能性が高いと捜査関係者は指摘しています。この手法は、ユーザーが普段頼りにしているセキュリティ機能を無力化するため、被害の拡大を招きやすいのです。幸い、今回はカードの持ち主が代金を請求されたものの、アカウントを勝手に作られた男性に金銭的な被害は発生しなかったとのことですが、精神的な負担や個人情報流出のリスクは計り知れません。
今回の事件を受け、ペイペイ広報担当は「不正利用の防止に向け、今後も対策を講じたい」とコメントしていますが、捜査幹部からは「キャッシュレスサービスが広がる中で、企業はセキュリティ対策を改めて検討してほしい」との強い要望が出ています。SMSを用いた本人認証の仕組みは、スマホ決済だけでなく、インターネットバンキングなど、私たちの生活に不可欠な多方面で採用されているため、この認証が破られる可能性が示されたことは、デジタル社会全体のセキュリティ課題を浮き彫りにしています。私見ではありますが、企業はユーザー教育の徹底と、多要素認証(パスワードとSMS認証など、複数の方法を組み合わせる認証)の義務化といった、より強固な対策を早急に講じるべきだと考えます。
佐川急便を装ったSMSによる個人情報詐取の被害は、2018年夏ごろと年末にも急増していました。この時の手口も、荷物の不在通知を装い、公式ホームページに酷似した偽サイトへ誘導し、情報を盗む不正なアプリをダウンロードさせるというものでした。情報セキュリティ大手のトレンドマイクロ広報グループの鰆目順介氏は、提供元が不明なアプリをインストールしない設定にすることや、セキュリティソフトを利用した対策が効果的だとアドバイスしています。もし不審なアプリをインストールしてしまったら、すぐに削除するよう心がけてください。
SNS上でも、この報道に対し「まさか認証コードが抜き取られるなんて」「宅配業者を装ったメッセージは本当によく来る」といった、驚きと不安の声が広がっています。利用者としては、宅配業者からのSMSであっても、そこに記載されているリンクを安易にタップするのではなく、公式サイトや公式アプリから荷物情報を確認する習慣をつけることが、自衛の第一歩となるでしょう。サービス提供企業と利用者、双方の意識と対策強化が求められる、重大な事件であるといえるでしょう。
コメント