1: へっぽこ立て子@エリオット ★ 2019/03/04(月) 15:05:21.96 _USER
郭さんのスマホの支払い履歴。「ビリヤードクラブ」というまったく知らないところに999元を支払っていることになっている。1000元未満では、認証をしなくても支払いができることを利用した犯行だった。(陝西衛星テレビの報道番組「新聞午報」のYoutubeチャンネルより)
□QRコード決済がすでに日常になっている中国の落とし穴
日本でも、QRコードを利用したスマートフォン決済が増えてきている。しかし、評判は今ひとつのように感じられる。それは支払いに手間がかかるということに起因しているようだ。QRコード決済のやり方は2通りある。ひとつは、スマホを取り出し、アプリを起動し、自分のQRコードを表示する。これをレジでスキャンしてもらうと、レジに打たれた金額が送金されるというもの。アプリを起動して、QRコードを表示しなければならないのが煩わしい。
もうひとつは、逆に店舗側が印刷されたQRコードを掲示しておき、支払い客はスマホを取り出し、アプリを起動し、カメラを起動。店側のQRコードをスキャンし、金額を入力する。その金額に間違いがないことを店員に確認してもらい送金するというもの。支払い客がスキャンと金額入力をしなければならないのが煩わしい。
おサイフケータイやiDなどでの決済に慣れてしまった日本人なら、これだったら電子マネーでタッチするだけの方が楽じゃないかと考えてしまっても致し方ないところかもしれない。
QRコード決済の最大の利点は、店側にレジやスキャナーなどの装置が不要ということだ。スマホ1台あれば、スマホ決済の加盟店になれる。特に、後者の支払い客がスキャンと金額入力をする方式では、店側にはスマホ1台あればよく、レジやスキャナーは不要。設備投資がいらないことから、個人商店などでもっぱら使われる方式だ。
この「設備投資不要」という利点があったために、中国ではQRコード決済が急速に広がり、都市部では対応していない店舗の方が珍しくなっている。どこでも使えるから、利用者も増えるという好循環を生んでいる。中国のキャッシュレス決済比率は60%+程度だが、これは全国規模の数字で、都市部に限れば、90%以上になっているというのが実感だ。
これだけキャッシュレス決済が進むと、当然悪知恵を働かせるやつも出てくる。自分のQRコードをシールに印刷し、店舗が掲示しているQRコードの上に貼り付けてしまうという手口がポピュラーになっている。支払い客がお店にお金を払っているつもりでも、実際は犯人のアカウントに送金されてしまうというものだ。
さらに、駐車違反キップを偽造して、駐車違反の車に貼り付けて回る手口も有名になっている。本物の警察が、QRコード付きの駐車違反キップを発行していて、罰金をスマホ決済で支払うと警察署に出頭しなくていいという仕組みがあり、これを利用して自分のQRコードをつけた偽造違反切符をプリントし、駐車違反の車に貼り付ける。偽造だとは気づかない運転手が、せっせと罰金を送金してくれる。
このような「店が印刷したQRコード」(スタティックコード)の脆弱性は中国でも以前から指摘されていて、そのため、できるだけ「支払い客がスマホで表示するQRコード」(ダイナミックコード)を店舗側がスキャンすることが望ましいとされていた。スマホに表示されるQRコードには、アカウント情報だけでなく、時刻情報も入っていて、1分程度で、そのQRコードは無効になる。万が一、QRコードの写真を撮られて、他の店で利用しようとしても、無効になってしまうために安全だと言われていたのだ。
ところが、昨年、陝西衛星テレビの報道番組「新聞午報」が、新手のQRコードハッキングを報じ、大きな話題になっている。
長いので >>2 に続きます
2019年03月04日 11時00分更新
ASCII.jp
http://ascii.jp/elem/000/001/817/1817202/
2: へっぽこ立て子@エリオット ★ 2019/03/04(月) 15:05:31.30 _USER
>>1 から続く
□肩越しにQRコードを読み取るローカルな手口
防犯カメラに記録されていた犯行の瞬間。レジ前の郭さんが、右手にスマホを持ったまま注文をしている。背後の男が、郭さんのスマホを肩越しにスキャンしている。(陝西衛星テレビの報道番組「新聞午報」のYoutubeチャンネルより)
山西省晋城市に住む郭さんという男性が、ファストフード店のレジで注文をしていた。手にはスマホを持ち、すでに支払いのために自分のQRコードを表示している。ところがまだ注文も終わっていないのに、支払い完了を通知するバイブレーターが振動した。さらに、「ビリヤードクラブ」というところに999元(約1万6000円)を支払ったという通知が送られてきた。まだ支払のためのスキャンもしていないのにと郭さんは困惑した。
ところが、この郭さん、実は非番の警察官だった。何らかの犯罪に違いないと、すぐに店側に身分を明かして協力を求め、監視カメラの映像をチェックした。するとレジで並んでいる郭さんの背後に怪しい行動をとる男がいた。郭さんの肩越しにスマホをかざしている。そのスマホは、郭さんのスマホのQRコードの方を向いているように見えた。
監視カメラに映った服装などから、すぐに男は捕まった。この男は、QRコードを表示したままレジで注文している郭さんの肩越しに、QRコードをスキャンしていたのだ。カメラの解像度やQRコードの認識精度が上がっているため、数十センチ程度の距離からならじゅうぶんにQRコードをスキャンできてしまう。
QRコードで決済をするときは、何らかの認証も必要になる。パスワードを入力するか、指紋認証をするのが一般的だ。しかし、利用者から手間がかかるという声があり、認証が必要なのは1000元以上にして、999元以下の決済では認証を省略できる設定ができる。郭さんは、少額決済では認証を省略する設定にしていたため、知らない間に送金されてしまったのだ。
この事件は、大きな話題となり、各地の警察が注意喚起を行っている。警察は、「少額決済でも認証を必要とする設定にすること」「レジに並んでいる間は、QRコードを表示させないこと」などを勧めている。
□求められているのは真にセキュアな個人認証インフラ
QRコード決済は、店舗側も消費者側も手軽に利用できる仕組みだが、手軽であるがゆえに数々の脆弱性がある。そのため、中国の「アリペイ」「WeChatペイ」は、急速に「QRコード離れ」を起こしている。カフェや飲食店では、スマホに表示されるメニューから注文してもらい、決済までスマホ内で行ってしまうスマートオーダーなども普及し始めているし、顔認証決済も珍しいものではなくなっている。キャッシュレス決済の行きつく先は、真にセキュアな個人認証に紐づいたインフラだろう。QRコードは、あくまでも普及期に使うもので、キャッシュレス決済が日常に普及した今の中国では、よりセキュアな方式への切り替えが図られているようだ。
https://www.youtube.com/watch?v=tCxRHtDnf8Q
この事件を報道した陝西衛星テレビの報道番組「新聞午報」の動画。盲点となっていた方法で、QRコードがスキャンされ、999元が盗まれた。
□肩越しにQRコードを読み取るローカルな手口
防犯カメラに記録されていた犯行の瞬間。レジ前の郭さんが、右手にスマホを持ったまま注文をしている。背後の男が、郭さんのスマホを肩越しにスキャンしている。(陝西衛星テレビの報道番組「新聞午報」のYoutubeチャンネルより)
山西省晋城市に住む郭さんという男性が、ファストフード店のレジで注文をしていた。手にはスマホを持ち、すでに支払いのために自分のQRコードを表示している。ところがまだ注文も終わっていないのに、支払い完了を通知するバイブレーターが振動した。さらに、「ビリヤードクラブ」というところに999元(約1万6000円)を支払ったという通知が送られてきた。まだ支払のためのスキャンもしていないのにと郭さんは困惑した。
ところが、この郭さん、実は非番の警察官だった。何らかの犯罪に違いないと、すぐに店側に身分を明かして協力を求め、監視カメラの映像をチェックした。するとレジで並んでいる郭さんの背後に怪しい行動をとる男がいた。郭さんの肩越しにスマホをかざしている。そのスマホは、郭さんのスマホのQRコードの方を向いているように見えた。
監視カメラに映った服装などから、すぐに男は捕まった。この男は、QRコードを表示したままレジで注文している郭さんの肩越しに、QRコードをスキャンしていたのだ。カメラの解像度やQRコードの認識精度が上がっているため、数十センチ程度の距離からならじゅうぶんにQRコードをスキャンできてしまう。
QRコードで決済をするときは、何らかの認証も必要になる。パスワードを入力するか、指紋認証をするのが一般的だ。しかし、利用者から手間がかかるという声があり、認証が必要なのは1000元以上にして、999元以下の決済では認証を省略できる設定ができる。郭さんは、少額決済では認証を省略する設定にしていたため、知らない間に送金されてしまったのだ。
この事件は、大きな話題となり、各地の警察が注意喚起を行っている。警察は、「少額決済でも認証を必要とする設定にすること」「レジに並んでいる間は、QRコードを表示させないこと」などを勧めている。
□求められているのは真にセキュアな個人認証インフラ
QRコード決済は、店舗側も消費者側も手軽に利用できる仕組みだが、手軽であるがゆえに数々の脆弱性がある。そのため、中国の「アリペイ」「WeChatペイ」は、急速に「QRコード離れ」を起こしている。カフェや飲食店では、スマホに表示されるメニューから注文してもらい、決済までスマホ内で行ってしまうスマートオーダーなども普及し始めているし、顔認証決済も珍しいものではなくなっている。キャッシュレス決済の行きつく先は、真にセキュアな個人認証に紐づいたインフラだろう。QRコードは、あくまでも普及期に使うもので、キャッシュレス決済が日常に普及した今の中国では、よりセキュアな方式への切り替えが図られているようだ。
https://www.youtube.com/watch?v=tCxRHtDnf8Q
この事件を報道した陝西衛星テレビの報道番組「新聞午報」の動画。盲点となっていた方法で、QRコードがスキャンされ、999元が盗まれた。
42: 名刺は切らしておりまして 2019/03/04(月) 17:36:09.05
>>1
日本はプリペイドカードでいいよ
どこで使えるようにしてくれ
日本はプリペイドカードでいいよ
どこで使えるようにしてくれ
3: 名刺は切らしておりまして 2019/03/04(月) 15:09:39.39
やっぱマイナンバー最強な
4: 名刺は切らしておりまして 2019/03/04(月) 15:12:15.65
QRコードガ絶対!
QRコードが何より強い!
QRコードが未来のコード!!
っていったペイペイは、詐欺って事?
QRコードが何より強い!
QRコードが未来のコード!!
っていったペイペイは、詐欺って事?
49: 名刺は切らしておりまして 2019/03/04(月) 17:45:42.61
>>4 に書いてるような詐欺を防ぐような仕組みにはなってるけど、
そのせいで使い勝手が悪すぎる
ポイント還元が終わったらほとんど誰も使ってないのが……
そのせいで使い勝手が悪すぎる
ポイント還元が終わったらほとんど誰も使ってないのが……
5: 名刺は切らしておりまして 2019/03/04(月) 15:12:56.88
いつもぬこぬこ現金払い
69: 名刺は切らしておりまして 2019/03/04(月) 18:36:26.96
>>5
それが最も安心。
それが最も安心。
7: 名刺は切らしておりまして 2019/03/04(月) 15:19:47.87
詐欺師もいろいろ考えるなあw
9: 名刺は切らしておりまして 2019/03/04(月) 15:25:28.16
金塊
現金 高齢者日本人が信じるのは↑
銀行口座 日本人が信じるのは↑
チャージ式電子マネー
口座紐付き電子マネー 韓国人が信じるのは↑
口座紐付きQRコード 中国人が信じるのは↑
現金 高齢者日本人が信じるのは↑
銀行口座 日本人が信じるのは↑
チャージ式電子マネー
口座紐付き電子マネー 韓国人が信じるのは↑
口座紐付きQRコード 中国人が信じるのは↑
10: 名刺は切らしておりまして 2019/03/04(月) 15:26:21.84
詐欺だと気付いた場合、QRコードでの決済された金額をQRコードの業者が停止/回収することできないの?
クレカみたいに保障でもいいけど。
クレカみたいに保障でもいいけど。
12: 名刺は切らしておりまして 2019/03/04(月) 15:33:05.51
店頭価格とQRコードの金額に差を付けて
約16000円まで認証不要で決済できるシステムが
普及してたら、QRコード側を上限に設定して
みんな詐欺やるだろ
やらない方がおかしい
約16000円まで認証不要で決済できるシステムが
普及してたら、QRコード側を上限に設定して
みんな詐欺やるだろ
やらない方がおかしい
14: 名刺は切らしておりまして 2019/03/04(月) 16:00:02.62
だから言ったろ。
QRでキャッシュレス決済の便利さに慣れてくると、より便利で安全なNFCやFeliCaへの移行が始まるって。
その始まりの時期はすぐそこまで来てるな。
QRでキャッシュレス決済の便利さに慣れてくると、より便利で安全なNFCやFeliCaへの移行が始まるって。
その始まりの時期はすぐそこまで来てるな。
15: 名刺は切らしておりまして 2019/03/04(月) 16:02:04.27
QRコード自体は便利だけど
使い方間違ってるよね(´・ω・`)
使い方間違ってるよね(´・ω・`)
16: 名刺は切らしておりまして 2019/03/04(月) 16:22:14.86
FeliCaはセキュリティ凄いみたいに書きたいんだろうがFeliCaの方が電源オフでも決済できるからスマートなスリができちゃうんだがな。
だからFeliCaのリーダー/ライターはほぼ据置型
だからFeliCaのリーダー/ライターはほぼ据置型
17: 名刺は切らしておりまして 2019/03/04(月) 16:26:02.50
この記事に出てる犯罪は、
店のQRコードの上に別のを張り付けるってのは、単に店側の管理怠慢だし
客に被害は及ばないし問題無い。
肩越しにコードを撮影するって・・w 自分が気を付ければ済む事。
こんなもんどんな場面でも有り得る犯罪だし、殊更QRに結び付ける奴が
おかしなバイアスをかけようとしてるに過ぎない。
アホらしい記事。
店のQRコードの上に別のを張り付けるってのは、単に店側の管理怠慢だし
客に被害は及ばないし問題無い。
肩越しにコードを撮影するって・・w 自分が気を付ければ済む事。
こんなもんどんな場面でも有り得る犯罪だし、殊更QRに結び付ける奴が
おかしなバイアスをかけようとしてるに過ぎない。
アホらしい記事。
18: 名刺は切らしておりまして 2019/03/04(月) 16:34:58.43
QRコード決済でも紙にプリントしたのをスキャンする静的コードは危ないが、動的コード決済の方は非接触決済よりセキュリティは強い。
なぜなら電源オン状態で、アプリが起動していて、コードが表示されていないとスキャン出来ないから。
非接触決済は利便性高い分セキュリティはかなり危うい。だから、加盟店管理会社専売の、据置型の端末しか決済端末として使えない。
なぜなら電源オン状態で、アプリが起動していて、コードが表示されていないとスキャン出来ないから。
非接触決済は利便性高い分セキュリティはかなり危うい。だから、加盟店管理会社専売の、据置型の端末しか決済端末として使えない。
23: 名刺は切らしておりまして 2019/03/04(月) 16:53:36.50
>>18
動的コードでやられたという話なのさ
動的コードでやられたという話なのさ
22: 名刺は切らしておりまして 2019/03/04(月) 16:53:01.75
さんざん金ばらまいたのに普及する前にQRが下火になったペイペイ、哀れすぎる。
25: 名刺は切らしておりまして 2019/03/04(月) 17:04:03.29
交通系カードは、駅の改札のような超高速処理が全く必要無い小さな商店とかに向いてる
不必要な機能を省いた端末をこれから普及させるらしいよ
確かにときどき客が来る程度のいそがしさの商店に駅の改札のような高速処理とかは要らないな
不必要な機能を省いた端末をこれから普及させるらしいよ
確かにときどき客が来る程度のいそがしさの商店に駅の改札のような高速処理とかは要らないな
27: 名刺は切らしておりまして 2019/03/04(月) 17:06:33.37
やっぱ「QuikPay」が最強やな。
・簡単、
・安心、
問題は対応店がいまだ少ない点。
逆にそういう未対応の店は選択肢にないとも言える。
つまりセキュリティー上 安全とも言えるな。
・簡単、
・安心、
問題は対応店がいまだ少ない点。
逆にそういう未対応の店は選択肢にないとも言える。
つまりセキュリティー上 安全とも言えるな。
28: 名刺は切らしておりまして 2019/03/04(月) 17:07:21.79
しょせん、中国で流行るモノは消滅する運命にあるw
32: 名刺は切らしておりまして 2019/03/04(月) 17:11:08.91
小田急ソフトバンクの惨事がなんだって?
ソフトバンクは自動運転の技術のなさにGMクルーズに泣きついたよね。
技術もらえるとは思えないけど。
ホンダもクルーズに泣きついたな。
協業模索したウエイモは技術くれないって嘆いて。
ソフトバンクは自動運転の技術のなさにGMクルーズに泣きついたよね。
技術もらえるとは思えないけど。
ホンダもクルーズに泣きついたな。
協業模索したウエイモは技術くれないって嘆いて。
36: 名刺は切らしておりまして 2019/03/04(月) 17:18:09.09
現金の利便性、信用度が高く、すでに交通系ICカードや各種のフェリカベースの
ICカード類、従来からのクレジットカードやデビットカードがすでに普及していて
成熟した金融環境を作っている日本では、QRコード決済も数ある決済手段の
メニューの一つとして加わる程度になるのでは?
発展途上国で競争相手が少ない環境でスマホ決済だけが爆発的に普及するような
状況とは日本はかなり違う
ICカード類、従来からのクレジットカードやデビットカードがすでに普及していて
成熟した金融環境を作っている日本では、QRコード決済も数ある決済手段の
メニューの一つとして加わる程度になるのでは?
発展途上国で競争相手が少ない環境でスマホ決済だけが爆発的に普及するような
状況とは日本はかなり違う
40: 名刺は切らしておりまして 2019/03/04(月) 17:29:19.38
あれだけ無責任に中国凄い、QRコード凄いと煽ってたのにな。
44: 名刺は切らしておりまして 2019/03/04(月) 17:40:23.86
発展途上国で特定規格や方式が爆発的に普及してほとんど100%のシェアを得る
なんて形の普及は起こらない
なんて形の普及は起こらない
45: 名刺は切らしておりまして 2019/03/04(月) 17:42:11.40
店側が自分のスマホのnfcを
決済端末に流用できるようにすれば
非接触型でも初期投資はほとんどかからないよ
決済端末に流用できるようにすれば
非接触型でも初期投資はほとんどかからないよ
56: 名刺は切らしておりまして 2019/03/04(月) 17:55:42.09
>>45
そんなことできたら怖すぎるんだけど。
他人の電子マネー取り放題
そんなことできたら怖すぎるんだけど。
他人の電子マネー取り放題
62: 名刺は切らしておりまして 2019/03/04(月) 18:07:36.82
>>45
NFCは近づけるだけで決済完了しちゃうからそれは無理
コード決済はアプリ起動して、コード表示させなきゃ決済できないから市販のスマホを決済端末化できるが
NFCは近づけるだけで決済完了しちゃうからそれは無理
コード決済はアプリ起動して、コード表示させなきゃ決済できないから市販のスマホを決済端末化できるが
64: 名刺は切らしておりまして 2019/03/04(月) 18:12:28.10
>>62
アメリカでコンタクトレス決済してる人らにも同じこと言ってこいよ
アメリカでコンタクトレス決済してる人らにも同じこと言ってこいよ
65: 名刺は切らしておりまして 2019/03/04(月) 18:14:20.14
>>64
アメリカはコンタクトレス全然普及してない。AMAZONGoもQR入店
アメリカはコンタクトレス全然普及してない。AMAZONGoもQR入店
67: 名刺は切らしておりまして 2019/03/04(月) 18:18:30.04
>>65
じゃ、オーストラリア
じゃ、オーストラリア
51: 名刺は切らしておりまして 2019/03/04(月) 17:46:06.77
元々、QRコードは、日本の自動車メーカーの部品企業が部品の管理に開発した代物。
日本の「デンソー」だったと思うが、そのQRコードを中国の悪徳業者が
悪用した。偽のQRコードを表示して詐欺を行ったから止まらないよね。
中国では品物も偽物ばかりだが、QRコードも偽物。
日本の「デンソー」だったと思うが、そのQRコードを中国の悪徳業者が
悪用した。偽のQRコードを表示して詐欺を行ったから止まらないよね。
中国では品物も偽物ばかりだが、QRコードも偽物。
58: 名刺は切らしておりまして 2019/03/04(月) 17:59:41.90
>>51
おそらく「電子かんばん」用だね
元々は
おそらく「電子かんばん」用だね
元々は
55: 名刺は切らしておりまして 2019/03/04(月) 17:55:37.31
ドコモが既にQRコード決済やってるの調べて初めて知った
これで充分なのに宣伝しないのは、クレカが噛んだポイントが並立してるから?
営業妨害になるし販促奨励金なんかを貰ってるからなのかな?
これで充分なのに宣伝しないのは、クレカが噛んだポイントが並立してるから?
営業妨害になるし販促奨励金なんかを貰ってるからなのかな?
60: 名刺は切らしておりまして 2019/03/04(月) 18:02:28.50
ショルダーハックなんて、どんなにセキュリティ強化してもアカンのと違う?
61: 名刺は切らしておりまして 2019/03/04(月) 18:03:15.71
現金はいつの時代でも最強
まあ、カード払いはタイムラグがあるのでカード会社に不正なのは無効に出来る
その場で全部が終わるリアルタイムのデジタル決済は、やられたらオワリで泣き寝入り
まあ、カード払いはタイムラグがあるのでカード会社に不正なのは無効に出来る
その場で全部が終わるリアルタイムのデジタル決済は、やられたらオワリで泣き寝入り
70: 名刺は切らしておりまして 2019/03/04(月) 18:41:13.38
面倒くさいから現金で良いや
情報漏えいについては、あらゆる電子決済を上回って、最強だしな
やっぱこれ以上のものは無いわ
現金は紀元前600年頃、リディアで発明されたとされ
それ以後、中国でも独自に発明して発達したけど
2600年以上にも渡って有効な決済手段であり続けたんだから
本当に驚異的な発明だったんだな
それには改めて驚くわ
情報漏えいについては、あらゆる電子決済を上回って、最強だしな
やっぱこれ以上のものは無いわ
現金は紀元前600年頃、リディアで発明されたとされ
それ以後、中国でも独自に発明して発達したけど
2600年以上にも渡って有効な決済手段であり続けたんだから
本当に驚異的な発明だったんだな
それには改めて驚くわ
香港のオクトパスみたいなのにすればいいのに
日本でもedyとかあるけど、香港みたいにオクトパス一択にすれば楽