•   Login
  •  
  •   Rss
  •   Rss2.0
  •   ATOM1.0
  •   Admin
  •   Top
  •   Home

QRコード決済に新たな歴史が刻まれましたね
アカウント管理は、既にパスワードリスト型攻撃という不正利用の手順が確立されているので、利用者自身がセキュリティー意識を高めていないと悪用される危険性が高いです。
いや~先週、7payが盛大にやらかしましたね。
paypayの時もそうでしたが、QRコード決済システムは、非接触型ICと違って、色々と問題点が露わになっていますね。
お金が絡む決済システムは、やはり銀行やクレジット会社などがピラミッドの頂点で、QRコードは最底辺なんじゃないかと思うほどです。


銀行の決済システムは、国の根幹(国際間の信用)に関わるだけに、いくつものテストを繰り返して更改し続けています。
それも、1年や2年ではなく、数年単位でシステム改修を行っています。
昨今では、仮想通貨も関わっているので、対外系システムのテスト項目が狂っているくらいあるんじゃないかと夢想します。

私は、QRコードと非接触型ICを同列に見ているのですが、非接触型ICの方は大規模にやらかしたニュースが殆ど記憶に残っていません。
Suicaカードがシステム都合で何度か交換したくらいでしょうか。
Suicaの次にサービス開始となったICOCAに至っては、交換するニュースを1度も見聞きしていません。
今は、楽天Edyも10年以上サービスを続けていますが、不正利用されるニュースを聞いたことがありません。
他にもクレジット系であるドコモのiDやVISAのQuick Payも同様にハッキングされて不正利用されたニュースは、探せばありそうですが記憶に残っていません。
ドコモアカウントiDのハッキングニュースはありましたけどね。


では、QRコードと非接触型ICの大きな違いはどこにあるのでしょうか。
全ての決済システムを使ったことがないので、「こうだ」と断定出来ませんが、QRコード決済は、利用者がログインIDとパスワードを入力することによって使うもの。
非接触型ICは、こうした括りが一切無い、或いは業者(システム)側で全てコントロールされており、利用者は何も考えずに使うもの。
に分けられるのではないでしょうか。

例えばドコモは両方のシステム(クレジットのiDとQRコードのd払い)を持っていますが、iDは届出した暗証番号のみで使えるのに対し、d払いはドコモのアカウントIDとパスワード(+2段階認証)を最初に入力する必要が有ります。
(難しい仕組みを抜きに単純な考えにすると)それぞれの決済する紐付けとして、iDはクレジットカード、d払いはドコモ月額利用請求払いとなっています。


第三者不正利用を企てる視点からすると、QRコード決済はアカウント管理を正しく設定しないといけないのに対し、非接触型ICは物理的に盗まないと使えません。
アカウント管理は、既にパスワードリスト型攻撃という不正利用の手順が確立されているので、利用者自身がセキュリティー意識を高めていないと悪用される危険性が高いです。

今回、7payの不正利用ニュースを見ると、利用上限金額も定めていないようですね。
こうなると、もうザルとしか言いようがなく、被害に遭われた方にはご愁傷様です。としか言葉が出ないです。
7payは、システムの基本設計に問題があったので、QRコード決済の脆弱性以前の問題でした。


私は、濫立するQRコード決済よりも10年以上早く普及している非接触型ICをどんどん推進した方が、利用者側のセキュリティー意識を高める必要なく、安全な決済システムとして攻めていくべきじゃないのかなあ。と思います。
店側としては、非接触型IC読み取り機器の設置にコストがかかりますが、顧客のセキュリティーに投資をすると言う考えに立てば、安い投資だと思うんですけどね。
セブンイレブンも折角nanacoという非接触型ICがあるのですから、世の中の流行に乗らずに突き進んで欲しかったな。なんて思います。


記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: 未評価 (0人)
Posted by いぐぅ 06:00 | システム | comments (0) | trackback (0)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31