PayPayやLINE Payなどスマホ決済サービスはとても便利ですよね。しかし設定方法を間違うと不正に現金が引き出されるなど、不正利用される可能性があります。
この記事では、スマホ決済サービス不正利用の攻撃手口と、対策方法について紹介します。
攻撃手口1:パスワードリスト攻撃によるアカウントの乗っ取り
攻撃者(クラッカー)は過去に流出したパスワードのリストを保持しており、これを利用して不正ログインを試みます。これをパスワードリスト攻撃といいます。複数のウェブサービスを同じパスワードで利用しており、どこかのウェブサービスからパスワードが流出した場合、不正にログインされる可能性があります。
不正にログインされると、メールアドレスなど情報の漏洩、現金の引き出しなどをされる可能性があります。
対策1:複数のサービスで同じパスワードを登録しない
いろいろなアプリやウェブサービスがあり、それぞれ別のパスワードを設定していくのは大変ですが、すべて別々のパスワードを設定するようにしましょう。同じパスワードを設定し、どれかのウェブサービスから流出した場合は、パスワードリスト攻撃により不正ログインの可能性が高まります。
パスワード管理アプリやパスワード生成ツールを活用して、異なるパスワードを設定するようにしましょう。
攻撃手口2:フィッシングサイトによるパスワード流出
ぱっと見では見分けがつかない偽サイトに誘導して、パスワードやログイン情報を不正に取得しようとするのが、フィッシングサイトの目的です。
「スマホ決済サービスに不正ログインがありました。以下のURLより確認をお願いします」などとメールを送り、本物とほとんど見分けがつかないサイトに誘導し、ログインさせようとします。正しいIDとパスワードを入力してしまうと、その情報を使用して不正ログインされてしまう可能性があります。
対策2:フィッシングサイトにはアクセスしない、何も入力しない
フィッシングサイトかどうか見極める方法の1つに、URLを確認する方法があります。ログインしようとしているサイトのURLは、本物とURLか確認することが大切です。
また、今までログインしてきたサイトであれば、IDやパスワードがブラウザの中に記録され、自動的に補完入力されることもあります。いつも補完入力されるのに今回は入力されていない、ということがあれば、URLが正しいか確認するようにしましょう。
攻撃手口3:セキュリティの甘い銀行口座の悪用
2020年11月24日、PayPayを悪用して、他人の口座から不正に現金をチャージしたというニュースが報道されました。
ペイペイ悪用、他人の預金詐取=不正チャージ疑いで2人逮捕―警視庁
この手口は、自分のPayPayアカウントに他人の口座番号や生年月日を紐付けることで、不正に現金をチャージしたということです。本来であれば、銀行側が連携するPayPayアカウントの本人確認を実施した上で紐付けする必要がありますが、それがされていなかった、ということが原因です。
対策3:セキュリティの甘い決済サービスや銀行を使用しない
どの決済サービスや銀行のセキュリティが甘いかを見極めるのはとても難しいことですが、少なくともニュースで被害が公開されている銀行や決済サービスは、登録する前によく確認するようにしましょう。
現在、上記の事件が起こったPayPayは、不正利用防止・被害予防の取り組みや、不正利用の被害にあわれた方への補償制度があります。
スマホ決済サービスはとても便利ですが、安易に登録するのではなく、過去に不正利用の事件が無かったか、不正利用防止の取り組みや保障制度はどのようになっているか、よく確認して利用するように心がけたいですね。
コメント