スマホ電子決済の脅威

こんにちは。
▽イベント・セミナーのチェックはここから▽
https://www.mokusiroku.com/

すっかり涼しくなってきましたね。
今年の夏は高気圧が日本列島に滞留していたため
気温が高い日が続いていましたね。
平年と比べても気温は高いそうです。

以前とあるセミナーでフジテレビの情報番組「特ダネ」で
お天気キャスターを務めている
「あまたつ」こと天達武史氏の講義を受けた際、
今後地球温暖化によって気温は上昇するが、
台風の数は増えないと言っていました。

ただし1個当たりの台風の勢力が増大するようです。
皆様も10月の台風にはお気を付けください。

今回お話ししたいのは最近問題になっている
「ドコモ口座への不正出金問題」です。

NTTドコモの電子決済サービス「ドコモ口座」では
開設したドコモ口座に紐づけた銀行口座などから
お金を「チャージ」することで電子決済に利用できます。

ドコモ口座の開設は以前までメールアドレスのみが条件だったため、
ドコモ口座と連携している銀行に口座を保有している方で
何らかの形で口座番号、暗証番号が外部に漏れた方は

ドコモ利用していない、ドコモ口座を持っていない方も
勝手にドコモ口座を作られ、ドコモ口座へ
不正出金に遭うという状況になりました。

またその後、その他の銀行、
電子決済サービスでも類似の被害が発生しました。

電子決済は今の我々には必要不可欠なものとなっています。
今後このような被害に遭わないためにはどうしたらよいのか？

今回はIPA（独立行政法人 情報処理推進機構）が公開している
情報セキュリティの大脅威を基にご紹介していきます。

実は当社ではISMS（情報セキュリティマネジメント）の認証を得ている関係もあり、
毎月情報セキュリティに関して講義を受けています。
そこで紹介されたのがこの情報セキュリティ脅威です。

2019 年において社会的に影響が大きかったセキュリティ上の脅威についての
ランキングになっていますが、
今回は「個人向け脅威」1位に上がった「スマホ決済の不正利用」に関して取り上げます。

＜攻撃者＞
● 犯罪グループ
● 犯罪者

＜被害者＞
● 個人(スマホ決済サービス利用者)
● 組織（サービス事業者・サービス利用店舗・クレジットカード会社）

＜攻撃手口＞
◆ 不正アクセスによるアカウントの乗っ取り
被害者が複数のサービスで同一のパスワードを使いまわしている場合がある。
攻撃者は、過去に漏えいしたパスワードをリスト化し、
それをもとにログインを試みる（パスワードリスト攻撃）。
不正ログインに成功すれば、なりすまして不正利用する。

また、スマホ決済サービスより提供される二要素認証等のセキュリティ機能を
利用していない場合、漏えいしたパスワードのみで不正ログインできるため、
攻撃者に悪用され易い。
→今回のドコモ口座問題では口座開設時に
この2重認証がなかったことが問題となっています。

個人でできる対策としては以下が挙げられます。
● 被害の予防
・パスワードは長く、複雑にする
・パスワードの使いまわしをしない
例えばパスワードの基となるコアパスワードを作成し、
その前後にサービス毎に異なる識別子を付加することで
ユニークなパスワードを作成することができる。
・パスワード管理ソフトの利用
・サービスが推奨する認証方式の利用ニ要素認証や3D セキュア等を利用することで、
仮にパスワードが攻撃者に漏えいしたとしても、不正ログインや、
その後の金銭被害等につながる重要な操作を阻止できる確率を高める。
・不審なウェブサイトで安易に認証情報を入力しない（フィッシングに注意）
・利用頻度が低いサービスや不要なサービスのアカウント削除
・過剰なチャージはしない（被害額を抑える）
・スマートフォンの盗難・紛失対策
・スマートフォンを悪用されないために画面ロック等のセキュリティ対策を実施する。

被害の把握と対応も重要なポイントになります。
● 被害の早期検知
・不正なログイン履歴の確認
・スマホ決済サービスの利用履歴の確認
・サービス利用状況の通知機能等の利用

● 被害を受けた後の対応
・パスワードの変更
・クレジットカードの停止
・スマホ決済サービス運営者への連絡

今後加速すると思われる「電子決済」、
皆様も利用される際は上記の点を
意識し活用することをお勧めます。

自分で守れる範囲を意識することで
リスクは一段と下がります。

以上、本日は

「スマホ電子決済の脅威」について
お届けしました。

本日もお読みいただき、
ありがとうございました。

---