スマートフォン決済アプリサービスで予想される金融犯罪リスクと対策

金融犯罪対策センター（Financial Crime Control Center：以下、FC3）の新林です。

2023年4月から、「デジタル給与払い」が施行される予定です。デジタル給与払いとは、給与支払先を電子マネー口座に指定できる新制度のことで、スマートフォン決済アプリサービスを中心に対応が進むと見られます。これによりスマートフォン決済アプリサービスの大きな発展が期待される一方で、利用者の増加や取引額の拡大に伴う金融犯罪リスク増大の恐れが懸念されます。

そこで私たちFC3は、現状のスマートフォン決済アプリサービスにおける金融犯罪の対策状況の調査を実施しました。その結果、私たちの懸念が現実のものとなりかねない状況にあることが判明したので、詳細についてご紹介します。

活用が広まるスマートフォン決済アプリサービス、現状の対策状況を調査

今回FC3では、国内で提供されている複数の主要なスマートフォン決済アプリを対象に、「他人のアカウントを乗っ取った不正利用」を中心としたサイバー金融犯罪^※1の対策状況を調査しました。前回の記事でご紹介した通り、デジタル給与払いの解禁に伴ってスマートフォン決済アプリの活用が拡大した際に、アカウント乗っ取りのリスクが高まることを予想しているためです。

※1 インターネットなどのコンピュータネットワークを使用したサービスの利用者が保有する資産を標的とする犯罪のこと。

各サービスのセキュリティ対策を分析したところ、ログイン時に加え商品購入代金の支払いや他人への送金、コンビニATMでの現金払出のような重要サービス機能を利用する際に、ログインとは別の方法で追加認証を行う二段階認証を実施するなどの対策は講じられていました。しかし、最近のサイバー金融犯罪全体における被害の中では、従来の対策を突破する新しい手口が確認されており、積極的にサイバー金融犯罪対策を導入している企業でも被害が発生しています。そして、調査を実施したスマートフォン決済アプリのほぼ全てにおいて、アカウントが乗っ取られて金銭被害の発生するリスクがあることも判明しました。

スマートフォン決済アプリサービスで実施されている現状の対策

調査の結果、現状のスマートフォン決済アプリサービスで実施している対策には、大きく5つの特徴がありました。各サービスによって多少の違いはあるものの、ログイン時だけではなく店頭での商品購入や他者への送金といった決済を行う場合、二段階認証などの対策が講じられています。

スマートフォン決済アプリサービスで実施されている対策の主な特徴

対策の特徴	概要
①SMS認証の採用	ログイン時の認証として、ID/パスワードと組み合わせてSMS認証※2で本人確認を実施。
②資金決済など重要サービス利用時の追加認証	商品購入代金の支払いや知人への送金、コンビニATMでの現金払出など重要サービス機能の利用時に、ログインとは別の追加認証（暗証番号や生体認証など）を実施。
③一部機能の利用開始前に身元確認	現金払出や利用金額の上限引き上げなどの一部機能の利用にあたり、マイナンバーカードや身分証明書を用いたオンライン上での身元確認（eKYC）※3を実施。 なお、利用都度行うものではなく、利用開始前に1度実施することで機能が継続的に利用可能となる。
④アプリプッシュやメールでの利用通知	ログイン時や取引の操作時に、アプリのプッシュ通知や登録メールアドレスへの通知で利用者に知らせる機能を提供。
⑤金額上限の設定	電子マネーのチャージや商品購入時のコード決済、他アカウントへの送金、現金払出などの機能における金額の上限を日単位、月単位などで設定。

※2 携帯電話番号を用いメッセージのやり取りが行えるショートメッセージサービス（SMS）を用いた認証方式。

※3 electronic Know Your Customerの略称。オンライン身元確認の一種。

もちろん上記の対策以外にも、犯罪者による"アカウントの乗っ取り"を防ぐための対策が講じられていることもあります。しかしながら、直近では他のオンライン金融サービスにおいて、これらの対策を突破する犯罪手口が確認されています。そのため、スマートフォン決済アプリサービスが今後発展していく中で、犯罪者から資金獲得の絶好の機会と見られ狙われた場合に、アカウント乗っ取りの被害が発生するリスクがあると考えています。

二段階認証方式を突破しうる最新手口からの被害を防ぐ

最近他のオンライン金融サービスでは、ログイン時と決済等の操作時に行う二段階認証を突破する「リアルタイムフィッシング」や、「携帯電話乗っ取り」によるアカウント乗っ取りの被害が確認されています。これにより、上述したスマートフォン決済アプリで採用されている認証方式も突破されてしまう可能性があります。現状の対策ではアカウント乗っ取りのリスクが残存しており、実際に被害が発生する恐れがあるということです。これらの手口から被害を防ぐためには、複数の対策を組み合わせた「多層防御」の考え方が重要となります。特にアカウント乗っ取りにおいては、「高度な本人認証」と「異常取引検知」の組み合わせがポイントといえるでしょう。

従来の対策を突破する最新のアカウント乗っ取り手口とは

他人のアカウントを乗っ取り不正利用するためには、ログインや操作時の各種認証を突破する必要があります。他のオンライン金融サービスで被害を及ぼしている最新の犯罪手口では、「リアルタイムフィッシング」や「携帯電話乗っ取り」によって各種認証が突破されています。

それぞれどういう手口なのか、そして従来の対策はどうやって突破されてしまうのか、以下で詳しく解説します。

認証情報を全て盗むリアルタイムフィッシング

フィッシングは、利用者の情報を詐取する手口です。アカウント乗っ取りの場合、ログインや操作に必要な個人情報、認証情報を詐取する際に用いられます。例えば、メールやSMSなどを用いて偽サイトへアクセスさせ、偽サイト上に利用者の個人情報やアカウント認証情報などを入力させることで情報を詐取します。この手口への対策として、ワンタイムパスワードがあります。

ワンタイムパスワードは、その時1度しか有効でないランダムなパスワードを生成するものであり、万が一IDとパスワードが盗まれてしまった場合にも、「1度きり」のみ有効なワンタイムパスワードが一緒に盗まれない限り、被害発生を防ぐことができます。スマートフォン決済アプリサービスで採用されている「SMS認証」もワンタイムパスワードの1種です。

しかし、最近ではワンタイムパスワードすらも詐取する「リアルタイムフィッシング」と呼ばれる手口が確認されています。ワンタイムパスワードの入力が必要なタイミングで、利用者からその時点で有効なパスワードを詐取する手口です。具体的には、利用者が偽サイト上に情報を入力した後に「確認中」などの待機画面を表示し、ワンタイムパスワードが必要となったタイミングで、再度入力画面に切り替えて利用者へ現在のワンタイムパスワードを入力させるというものです。これにより、多くのスマートフォン決済アプリサービスで採用されている「SMS認証」も同様に突破されてしまう恐れがあります。

勝手に携帯電話の契約を変更する携帯電話乗っ取り

携帯電話が乗っ取られるパターンはいくつか考えられますが、今回は利用者の携帯電話番号を盗む「SIMスワップ」などと呼ばれるものを紹介します。

私たちが日々利用しているスマートフォンには、電話番号や契約者情報が記録された「SIMカード」と呼ばれるICチップが格納されています。これは携帯電話のサービスを提供する通信事業者から発行されるものです。「SIMスワップ」と呼ばれる手口では、犯罪者は携帯電話会社に対して利用者を装って連絡し、「SIMカードを紛失した」などと偽って再発行を依頼します。再発行されたSIMカードには本来の利用者の電話番号等の情報が記録されており、犯罪者は自らの保有しているスマートフォンに再発行されたSIMカードを挿し込むことで、他者のスマートフォンを事実上"乗っ取る"ことができるということです。これにより、本来利用者の携帯電話に対する連絡や認証情報のSMS送信などが全て犯罪者の携帯電話へ届いてしまうので、SMS認証は犯罪抑止効果が低下していると言えるでしょう。

携帯電話の乗っ取りがフィッシングと大きく異なる特徴として、利用者が手口に関与する機会が無いことが挙げられます。そのため、利用者の目線では突然自分の携帯電話が何故か使用できない状況となり、携帯電話が乗っ取られてしまっていることや、スマートフォン決済アプリのアカウントが乗っ取られていることに気づくまでに時間がかかる可能性があります。

当然ですが、携帯電話会社でもこのような手続きでのなりすましを防ぐために本人確認を実施しています。しかし、犯罪者は利用者に関する情報の収集や偽造身分証の作成など事前に入念な準備をしているため、携帯電話会社もなりすましの判別が難しい場合があると考えられます。このことから、各サービス側でも電話乗っ取りを想定した対策を実施しておく必要があります。

不正利用を防ぐためには多層防御、重要対策は認証と異常取引検知

スマートフォン決済アプリサービスで講じられている対策では、最新の犯罪手口を防ぐことができず、実際に利用者が被害を受けてしまう可能性についてはご説明した通りです。このような最新の犯罪手口に対して「二段階認証」といった1つの対策だけで防ぎきることは難しいでしょう。もし一時的に防ぐことができたとしても、更に新しい手口によって突破されてしまう恐れがあります。犯罪者の手口は今後も複雑化・巧妙化が続くことが想定され、より簡単にセキュリティ対策が突破されてしまうことも考えられます。

そこで重要となるのは「多層防御」の考え方です。アカウント乗っ取りにおいて重要となる対策は、前段でなりすましを防ぐ「高度な認証」と、認証を突破した後の挙動から不正を見抜く「異常取引検知」を組み合わせることです。

フィッシングや電話乗っ取りを想定した高度な認証方式

多くのスマートフォン決済アプリサービスで採用されている「SMS認証」は、携帯電話を用いるサービスにとって非常に相性の良い認証方式です。しかし、上述の通り犯罪者の取りうる手口によってSMS認証を突破されてしまう恐れがあります。これを防ぐためには、より高度な認証方式を組み合わせて、強固な認証プロセスを実現することが必要です。また、ワンタイムパスワードを利用する際は、利用開始時や他の携帯電話への切り替えの際の手続きについても工夫することで、より効果が高まると考えられます。

認証を突破された場合に被害を防止する異常取引検知

上述の通り犯罪者の手口は次々と変化しており、高度な認証プロセスを実現している場合でも、全てのなりすましを防ぎきることは困難です。そのため、万が一なりすましログインを許してしまった場合でも、犯罪者による利用であることを識別して対処するための「異常取引検知」の仕組みも重要です。一般的に専用ソリューションを用いられることが多く、具体的には、サービスへのアクセス情報や取引情報等から不正利用の疑いのあるものを検知し、不正利用のリスクが高い取引は更に追加認証を発行したり、アカウント停止を行ったりすることで被害を防止することができます。

さいごに

今回は、国内の主要スマートフォン決済アプリサービスにおける現状の金融犯罪リスクへの対策状況について、アカウント乗っ取りの観点でFC3が独自に調査した結果と、そこから予想されるアカウント乗っ取りのリスクについてお伝えしました。

これまでスマートフォン決済アプリは、コンビニエンスストアでの買い物など少額な利用が多く、いわば"普段使いのお財布"のような感覚で利用されるケースが多かったのではないかと考えられます。銀行口座やクレジットカードを紐づけることなく、都度チャージして使用する利用者もいるでしょう。つまり、犯罪者によってアカウントを乗っ取られてしまっても、1件あたりで発生する被害金額も大きくなく、犯罪者の立場からすると"スマートフォン決済アプリを狙っても効率が悪く、旨味が少ない"と見られている可能性が考えられます。

しかし、4月からデジタル給与払いが解禁された時、これが一変する可能性をFC3では危惧しています。厚生労働省の示した要件では、口座残高の上限を100万円と設定されており、スマートフォン決済アプリ口座は、より「銀行」のような色合いが強くなるはずです。"都度チャージする手間が面倒"と感じる利用者は、上限いっぱいの100万円を利用可能な状態に設定して使用することもあるでしょう。つまり、デジタル給与払いが解禁されることによってアプリ内にストックされる金額の規模が大きくなることで、犯罪者にとっての"旨味"が増すことになり、スマートフォン決済アプリサービスが標的として狙われるリスクが高まるということにほかなりません。これまで大きな被害が出ていなかったのは「犯罪者に狙われていなかったから」という可能性も十分に考えられます。

現状の各サービスでの対策状況を踏まえると、今回ご紹介したような最新の手口によって突破されてしまう恐れがありますので、今後の利用者・取引額拡大に伴い大規模被害に繋がることもありえるでしょう。既にクレジットカードなどの金融サービスでは、年間で数百億円の被害が発生し深刻な社会問題になっています。そうならないためにも、各サービス提供事業者は、今一度自社サービスの対策状況について最新の手口を踏まえ再確認し、必要に応じた対策強化を行っていく必要があるのではないでしょうか。

FC3では、今回ご紹介したようなサイバー金融犯罪の被害低減・撲滅に向け、金融機関や金融・決済サービス事業者、資金移動業者の皆様のセキュリティ対策の高度化を支援しています。自社サービスの金融犯罪対策にお悩みの際は、ぜひお気軽にFC3へご相談ください。