Shutterstock.com

パスワードに代わる認証!? アリババの新たな試み

牧野武文

April 24, 2018 08:00
by 牧野武文

中国で普及したQRコード方式スマホ決済。普及とともにセキュリティリスクも指摘され、1日の利用限度額などの制限もかけられるようになった。そこで、アリババでは、セキュリティが確保でき、かつ認証操作が簡単な認証方式が追求されている。そのひとつとして、画像による認証方式がアリペイに搭載されたと中国のニュースサイト『今日頭条』が報じた。

電子決済が進む中国

中国で決済手段の主役になった「アリペイ」「WeChatペイ」のQRコード方式スマホ決済。都市部では、すでに現金を見かけなくなっている。現金を使っているのは海外や地方からの旅行者ぐらいで、地元の市民はほとんどすべてがスマホ決済だ。道端の露店の焼き芋屋や歩きながらビンタンフールー(赤いサンザシを氷砂糖で包んだ駄菓子)を売る売り子もスマホ決済に対応している。駐車違反の切符にすらQRコードが印刷されていて、これをスマホでスキャンして罰金を支払う仕組みになっている。

「アリペイ」「WeChatペイ」は、もはや中国で生活をする上で、なくてはならないサービスになっているが、現在、政府はスマホ決済にさまざまな規制をかけ始めている。

本サイトでも過去にお伝えしたように、簡単に決済ができるようになったため、詐欺被害の件数が増加しているからだ。人間の心理的な弱点を突かれる詐欺であり、スマホ決済というテクノロジーに問題があるわけではないが、政府はこのような場合、扱える金額を制限して、詐欺被害を抑えようとする。どこの国でもATMは1日あたりの引き出し限度額が定められているが、それと同じ考え方だ。

「静態スキャン」が多い中国

本題に入る前に、スマホ決済には「動態スキャン」「静態スキャン」という2通りのスキャン方式があることをまず説明したい。

「動態スキャン」というのは、客が自分のスマホにQRコードを表示して、店側のレジ付属のスキャナーで読み取ってもらう方式である。日本の電子マネーやApple Pay、Google Payと基本的には同じやり方で、NFC近接通信の代わりにQRコードを使っているだけなので、理解しやすい。


店舗スタッフがレジ付属のスキャナーでQRコードをスキャンする動態スキャン。QRコードが使われているだけで、日本でもおなじみの決済方式だ。(画像は「菜市小卖部麻烦了,4月1日起静态条码交易日限额500元」より)

中国スマホ決済独特の方式が「静態スキャン」だ。これは客側が自分のスマホで、店のQRコードをスキャンして、決済を行う方式。カウンターなどに店のQRコードが印刷をしてある。これを客がスマホでスキャンし、支払う金額を入力して送金する。

客が決済作業を行うところが日本では馴染みにくいかもしれないが、例えば、コーヒースタンドなどでは、スタッフがコーヒーを作っている間、客はただぼーっと待ってなければならない。その間にスキャンをして支払いをすればいいと、中国人は合理的に考えているのだ。

「静態スキャン」のメリットは、店舗スタッフが決済作業をする必要がなくなり、商品の準備に集中できることだ。そのため、ファストフードなどでは、ランチセット専用の静態スキャンカウンターを設け、ファストレーンを用意しているところもある。店舗スタッフも作業負担が減り、客も行列に並ばなくていいという互いにメリットのある方式だ。

ただし、この静態スキャンにはリスクがある。印刷してある店舗側のQRコードの上に、別の口座のQRコードを貼り付けてしまうと、そちらに送金されてしまい、お金を盗まれてしまうのだ。レジカウンターやシェアリング自転車のQRコードの上に、犯人の口座のQRコードをシールで貼り付ける、偽のQRコードを印刷した偽の駐車違反キップを印刷して、車に貼るなどの事件が起きている。


客側が店舗のQRコードをスキャンして、決済作業をする静態スキャン。これにより、店舗スタッフは決済作業をしなくてよくなり、レジオペレーション時間が大きく短縮され、行列で待たされることがなくなるという店舗、客双方にメリットが生まれている。(画像は「菜市小卖部麻烦了,4月1日起静态条码交易日限额500元」より)

スマホ決済を4つのレベルに分類

このようなことから、中国中央銀行は、スマホ決済で1日に使える金額の制限を始めた。

スマホ決済の支払方法を安全度の高い方からA級、B級、C級、D級と分類した。それぞれに1日あたりの利用限度額を、A級は自己設定、B級5000元(約8万5000円)、C級1000元(約1万7000円)、D級500元(約8500円)と定めた。

いちばん安全度の低いD級は静態スキャン方式で、限度額は500元。と言っても、コンビニ、スーパーや百貨店、レストランなどでは合計金額を計算する都合上、レジで計算をし、レジ付属のスキャナーでスキャンするという動態方式で決済することが多い。静態スキャンは、露店やキヨスクなどで商品を1点購入する場合によく使われる。95%の利用者が、静態スキャンの1日あたりの利用額は500元以下で、この制限は大きな問題にならないという。

C級は、動態スキャンで、QRコードを表示するときに指紋認証か暗証番号を入力するもの。指紋認証などをすると、QRコードには顧客のIDの他、決済IDなども乗せられる。つまり、毎回違ったQRコードが表示される(だから動態)ので、コピーをされても悪用されない。これは限度額が1日1000元になり、百貨店などで少し高価な商品を買うときには制限に引っかかるケースが出てくる。

B級は、QRコードを表示するときに、指紋認証をして、かつ暗証番号も入力する。限度額は1日5000元。大きな買い物をするときはこの方式を使うが、操作が少し面倒になるので、百貨店のカウンターなど落ち着いた環境で使われる。

A級は、さらに電子署名などを使うもの。限度額は無限だが、自分で設定しておくことができる。QRコードを表示する前に認証手続きなどが必要になるので、一般店舗のレジカウンターではほとんど使われない。宝飾店、旅行代理店、金融機関など、座って取引ができる環境での高額決済に使われる。

登録した画像で認証

この制限で問題が起きそうなのは、B級とC級だ。特にB級は指紋認証と暗証番号の両方を必要とし、かつ毎日使う方式ではないので、いざ使うとなったときに「暗証番号は何番だったけ?」というトラブルが起きる。これはICクレジットカードでも頻繁に起こっている問題で、これで高額の取引を中止するということが頻繁に起こっている。

アリババのようなIT企業が、このような機会損失を放置しているわけがない。アリババは、忘れることのない認証方式として、顔認証に力を入れているし、また声紋認証なども技術開発も行っている。

しかし、顔、声紋とも、事前に登録をしておく必要があり、登録の方法が悪いと、認証成功率が下がってしまうという問題がある。誰でも簡単に登録ができて、忘れることがない認証方式はないのか。そこでアリババが出してきたのが、画像を利用する方法だ。

利用する画像は、自分で撮影した写真、あるいは手書き画像。これを登録しておく。認証が必要なときは、似たような画像が9種類表示されるので、中から自分で指定した画像を選んでタップするだけで認証が完了する。

なお、自分の顔写真や文字は暗証画像として利用できない。他人に覗き見をされたときに覚えられ、悪用されてしまう危険性があるからだ。9種類の中から正解を選ぶという方式なので、あてずっぽでも突破されてしまう危険性があるため、現在のところ指紋認証や暗証番号の代わりにすることはできず、あくまでも補助的な認証手段にとどまっている。この暗証画像方式がどこまで普及するかはわからないが、ユーザーに負担を与えず、かつ強力な暗証方式は確実に不足をしている。

安全確実な認証方式は、事故を予防することができるかもしれないが、その分、利用客が消費を躊躇してしまい、売上を下げる要因になってしまう。例えば、ECサイトでカード決済をするときに、カード裏面に記載されているセキュリティコードの入力を求められる。カード業界のセキュリティ基準PCI DSSでは、このセキュリティコードをECサイト側が保存することは禁じられているので、利用者は決済のたびにセキュリティコードを入力しなければならない。「今カードが手元にないのでセキュリティコードがわからない」という理由で、購入を中止してしまう離脱率は、どのECサイトでも無視できない割合になっている。

そのため、セキュリティ度は下がるものの、セキュリティコードの入力を省略しているECサイトもある。低セキュリティ決済による損失と機会損失の解消による売上増加を天秤にかけて、損失の方が小さいと判断しているのだろう。

つまり、決済技術開発会社は、より強固なセキュリティシステムを開発していくが、それを利用するECサイトなどでは、利用者の手間がかかることは嫌われてしまい、セキュリティシステムを使わない方向に進んでしまう。技術はあるのに、現実には低セキュリティという状況が生まれてしまう。

これからのセキュリティシステムは、「安全」だけではなく「使いやすい」が必須になっていく。「安全だけど使いづらい」では、結局使われなくなってしまうのだ。アリババは「安全で使いやすい」認証方式を模索している。


暗証画像での認証を行うと、9枚の写真が表示される。この中から、自分で登録をした写真をタップして選ぶ。(画像は『支付宝新的身份验证方式“暗号”,为支付宝账号安全保驾护航』)


手書き画像での認証も可能。やはり9枚の画像から自分で登録をした画像を選ぶ。(画像は『支付宝怎么重新设置暗号验证? 支付宝暗号重置的教程』より)


登録時に表示される注意画面。文字を描いた図は不可。写真でも自分の顔写真や連絡先などの写真は不可。他人に覗き見されたときに、どれが暗証画像か覚えられてしまう危険性があるからだ。(画像は『支付宝新的身份验证方式“暗号”,为支付宝账号安全保驾护航』)

ニュースで学ぶ中国語

掃碼(saoma):コードスキャン。掃はスワイプ、碼はコードの意味。掃は、線状の読み取り光源が、コードの上をゆっくりと掃いていくイメージで、今はもうそんなやり方をしていないが、言葉としては「掃く」を使う。クレジットカードも「刷る」という言葉を使う。磁気ストライプ時代に、カードを溝に通していたイメージがいまだに言葉として残っている。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…

刑務所をハッキングして友人の刑期を書き換えた男

May 11, 2018 08:00

by 江添 佳代子

2018年4月26日、刑務所のシステムをハッキングした罪で逮捕されていた米国人男性、Konrads Voits(27歳)に7年3ヵ月の禁固刑が下った。彼がミシガン州ウォッシュトノー郡のコンピューターシステムに侵入しようとした動機は、服役中の友人の刑期を短くするためだった。この「受刑者記録を改ざんすれ…

「事故前提の中国無人運転車」の公道走行試験

May 8, 2018 08:00

by 牧野武文

中国工信部、公安部、交通運輸部は連合して、「スマートネット自動車公道試験管理規範(試行)」を発表したと『中間村在線』が報じた。いわゆる無人運転車の公道走行試験の方法を国として定めたもので、中国はドライバレースカーの実用開発で他国を一歩リードすることになる。 無人運転の6要件 このガイドラインは、国と…