QRコード離れを起こす中国の
キャッシュレス決済事情
中国のキャッシュレス決済比率は全国規模で60%+程度、都市部に限れば
90%以上になっている。なかでも普及率が高いのがQR決済だが、キャッシ
ュレス化が日常になってきた中国では、それを悪用する手口も横行しつつ
あり、新たなる決済手段の模索が始まっている。
QRコード決済がすでに日常になっている中国の落とし穴
日本でも、QRコードを利用したスマートフォン決済が増えてきている。
しかし、評判は今ひとつのように感じられる。それは支払いに手間がかか
るということに起因しているようだ。QRコード決済のやり方は2通りある。
ひとつは、スマホを取り出し、アプリを起動し、自分のQRコードを表示す
る。これをレジでスキャンしてもらうと、レジに打たれた金額が送金され
るというもの。アプリを起動して、QRコードを表示しなければならないの
が煩わしい。
もうひとつは、逆に店舗側が印刷されたQRコードを掲示しておき、支払い
客はスマホを取り出し、アプリを起動し、カメラを起動。店側のQRコード
をスキャンし、金額を入力する。その金額に間違いがないことを店員に確認
してもらい送金するというもの。支払い客がスキャンと金額入力をしなけれ
ばならないのが煩わしい。
おサイフケータイやiDなどでの決済に慣れてしまった日本人なら、これだっ
たら電子マネーでタッチするだけの方が楽じゃないかと考えてしまっても致
し方ないところかもしれない。
QRコード決済の最大の利点は、店側にレジやスキャナーなどの装置が不要と
いうことだ。スマホ1台あれば、スマホ決済の加盟店になれる。特に、後者の
支払い客がスキャンと金額入力をする方式では、店側にはスマホ1台あればよ
く、レジやスキャナーは不要。設備投資がいらないことから、個人商店などで
もっぱら使われる方式だ。
この「設備投資不要」という利点があったために、中国ではQRコード決済が
急速に広がり、都市部では対応していない店舗の方が珍しくなっている。
どこでも使えるから、利用者も増えるという好循環を生んでいる。
中国のキャッシュレス決済比率は60%+程度だが、これは全国規模の数字で、
都市部に限れば、90%以上になっているというのが実感だ。
これだけキャッシュレス決済が進むと、当然悪知恵を働かせるやつも出てくる。
自分のQRコードをシールに印刷し、店舗が掲示しているQRコードの上に貼り付
けてしまうという手口がポピュラーになっている。支払い客がお店にお金を払っ
ているつもりでも、実際は犯人のアカウントに送金されてしまうというものだ。
さらに、駐車違反キップを偽造して、駐車違反の車に貼り付けて回る手口も有名
になっている。本物の警察が、QRコード付きの駐車違反キップを発行していて、
罰金をスマホ決済で支払うと警察署に出頭しなくていいという仕組みがあり、
これを利用して自分のQRコードをつけた偽造違反切符をプリントし、駐車違反の
車に貼り付ける。偽造だとは気づかない運転手が、せっせと罰金を送金してくれる。
このような「店が印刷したQRコード」(スタティックコード)の脆弱性は中国でも
以前から指摘されていて、そのため、できるだけ「支払い客がスマホで表示するQR
コード」(ダイナミックコード)を店舗側がスキャンすることが望ましいとされて
いた。スマホに表示されるQRコードには、アカウント情報だけでなく、時刻情報も
入っていて、1分程度で、そのQRコードは無効になる。万が一、QRコードの写真を
撮られて、他の店で利用しようとしても、無効になってしまうために安全だと言われ
ていたのだ。
ところが、昨年、陝西衛星テレビの報道番組「新聞午報」が、新手のQRコードハッ
キングを報じ、大きな話題になっている。
肩越しにQRコードを読み取るローカルな手口
山西省晋城市に住む郭さんという男性が、ファストフード店のレジで注文をしていた。
手にはスマホを持ち、すでに支払いのために自分のQRコードを表示している。
ところがまだ注文も終わっていないのに、支払い完了を通知するバイブレーターが振動
した。さらに、「ビリヤードクラブ」というところに999元(約1万6000円)を支払っ
たという通知が送られてきた。まだ支払のためのスキャンもしていないのにと郭さんは
困惑した。
ところが、この郭さん、実は非番の警察官だった。何らかの犯罪に違いないと、すぐに
店側に身分を明かして協力を求め、監視カメラの映像をチェックした。するとレジで並
んでいる郭さんの背後に怪しい行動をとる男がいた。郭さんの肩越しにスマホをかざし
ている。そのスマホは、郭さんのスマホのQRコードの方を向いているように見えた。
監視カメラに映った服装などから、すぐに男は捕まった。この男は、QRコードを表示
したままレジで注文している郭さんの肩越しに、QRコードをスキャンしていたのだ。
カメラの解像度やQRコードの認識精度が上がっているため、数十センチ程度の距離から
ならじゅうぶんにQRコードをスキャンできてしまう。
QRコードで決済をするときは、何らかの認証も必要になる。パスワードを入力するか、
指紋認証をするのが一般的だ。しかし、利用者から手間がかかるという声があり、認証
が必要なのは1000元以上にして、999元以下の決済では認証を省略できる設定ができる。
郭さんは、少額決済では認証を省略する設定にしていたため、知らない間に送金されて
しまったのだ。
この事件は、大きな話題となり、各地の警察が注意喚起を行っている。警察は、「少額
決済でも認証を必要とする設定にすること」「レジに並んでいる間は、QRコードを表示
させないこと」などを勧めている。
求められているのは真にセキュアな個人認証インフラ
QRコード決済は、店舗側も消費者側も手軽に利用できる仕組みだが、手軽であるがゆえ
に数々の脆弱性がある。そのため、中国の「アリペイ」「WeChatペイ」は、急速に「Q
Rコード離れ」を起こしている。カフェや飲食店では、スマホに表示されるメニューから
注文してもらい、決済までスマホ内で行ってしまうスマートオーダーなども普及し始めて
いるし、顔認証決済も珍しいものではなくなっている。キャッシュレス決済の行きつく
先は、真にセキュアな個人認証に紐づいたインフラだろう。QRコードは、あくまでも
普及期に使うもので、キャッシュレス決済が日常に普及した今の中国では、よりセキュア
な方式への切り替えが図られているようだ。
よく中国はキャッシュレス決済が広がって、先進国以上だと言う方がいますけれども
キャッシュレスが広がった発端は、日常的出来事として、銀行のATMから平気で
偽札が出て来ることなんですよね。中国の元紙幣の何%かは偽札と言われています。
だから電子決済が広がったワケなんですよね。
まぁこの手の犯罪もイタチごっこで、次から次へと新たな抜け穴を発見されて、犯罪
に使われてしまうのですね。
私は、スマホ自体とアプリに、それほど信頼を寄せてませんので、スマホを使った
決済はしません。また、クレジットカードもETCなどそれしか決済手段のないものや
割引が受けられる、致し方ない場合などに限っています。
