中国でQRコードを利用したローテクなハイテク詐欺事件が発生

牧野武文

April 27, 2017 08:00
by 牧野武文

中国では、電子マネーであるアリペイ(支付宝。運営者:アリババグループ)とWeChatペイ(微信支付。運営者:テンセント)があっという間に普及してしまった。現在の電子決済利用者は4.9億人、年間取引額は約153兆円で、日本の30倍ほどになる。電子決済利用者の約75%は、ネットだけでなく、リアル店舗でも電子決済を利用する。中国の人口が日本の10倍以上あることを考えても、ものすごい利用率だ。都市部では、お金をまったく持ち歩かない若者も珍しくなくなった。しかし、QRコードを利用した電子決済であるがゆえに、思わぬ落とし穴も生まれている。

QRコードを利用したシンプルなシステム

アリペイ、WeChatペイの普及が速かったのは、QRコードを採用した点にある。リアル店舗で買い物をしたときは、店舗がスキャナー、カメラなどで支払い客のQRコードを読み取る。これで、レジに入力した金額が、個人の銀行口座から引き落とされる。決済システムはすべてクラウド上にあるので、店舗ではネット回線とタブレットやスマートフォンを用意するだけで、電子決済に対応できる。この手軽さが普及を大いに加速させた。

FelicaやNFCなどの短距離無線通信を使う日本の電子マネーと異なり、仕組みが単純である分、ありとあらゆるシーンに一気に普及をした。現在では店舗だけでなく、有料公衆トイレや鉄道の券売機、飲料の自動販売機などでも利用できる。さらに、警察や官公庁も積極的で、税金の支払いや交通違反の反則金などにも利用されている。

利用シーンが広がるだけでなく、機能もどんどん付け加わっている。多くの人から歓迎されているのが、個人間でお金をやり取りできる機能。店舗での買い物と同じように、受け取る側が金額を入れ、相手のQRコードを読み取るだけでいい。さらに、割り勘機能もある。支払いをするときに、3人のQRコードを読み取れば、自動的にきっちりと3等分して決済される。

QRコードを使ったライドシェアサービス

しかし、そのQRコードという手軽さゆえに、「ローテクな」ハイテク犯罪が起きている。中国快科技の報道によると、自転車ライドシェアMobikeで、QRコードを使った詐欺事件が発生しているという。

Mobikeは、都市部で自転車をセルフレンタルし、どこにでも乗り捨てられるという自転車ライドシェアサービス。中国各都市で、ライバルのofoと激しいシェア争いを展開している。ofoは低コスト、低価格戦略で加入者数を伸ばしているが、Mobikeは高級、高価格戦略で対抗している。自転車にはGPSが搭載されているので、専用アプリから空き自転車を検索、自転車に付いているQRコードを読み込むと、Bluetooth経由で暗号鍵が送信され、自転車の電子鍵が開錠する仕組みだ。自転車が見つかりづらいときは、スマートフォンから自転車のベルを鳴らすこともできる。

入会時には299元(約4800円)のデポジットを支払う必要がある。この299元は、退会時に全額返却される。

QRコードを使って騙す

このMobikeで、ローテクなハイテク詐欺が起こった。自転車についているQRコードの上に、偽のQRコードのシールが貼り付けてある。このQRコードを読み込むと、フィッシングサイトに飛び、そこには299元の支払いの画面が現れる。支払いをタップしてしまうと、犯人の口座にアリペイなどの電子マネーで支払われてしまう。

デポジットの299元は、入会時に一度だけ支払うものなので、自転車を使う段階になって支払いを求められるのはおかしなことで、ちょっと考えれば、詐欺だと気がつくはずなのだが、首をひねりながらも支払いボタンをタップしてしまう人がけっこういるのだという。

現在、Mobike側が事態をどの程度把握しているかは不明だが、簡単にできる犯罪なので、今後広まる可能性があると、快科技は警告している。


開錠のためのQRコードの上に、フィッシングサイトに飛ばすQRコードをシール貼りするというきわめて単純な犯罪。しかし、騙されてしまう人はいるようだ。(画像は中国快科技より)


用意されたフィシングサイト。299元はMobikeを利用するためのデポジット料金と同じ。上部にある犯人のアイコンにも自転車が使われており、いかにもMobikeのサイトであるかのように誤認させようとしている。(画像は中国快科技より)

さらに、北京市では、フィッシングサイトに飛ぶQRコードを印刷した偽の駐車違反キップをプリントし、駐車している自動車に大量に貼るという事件も起きている。違反金の支払いだと思って、QRコードを読み取り、支払ってしまう人が少なからずいたようだ。

最先端の近距離無線通信ではなく、枯れた技術のQRコードだから普及をした。枯れた技術だから、枯れた手法で犯罪が可能になる。QRコードを使ったアリペイとWeChatペイは、そろそろ技術的な転換点を迎えようとしている。

ニュースで学ぶ中国語

 
支付(zhifu):支払いの意味。中国の電子決済はQRコードを利用するので、店舗側はネット回線とスマホ、タブレットがあるだけで導入できる。日本でもインバウンド関連を中心に対応が進んでおり、アジア各国でも対応が始まっている。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…