スマホ決済の不正利用、アカウント乗っ取り……情報セキュリティのプロが語る、個人情流出の“怖い話”

　スマホ社会となった今、個人情報の流出により、インターネットサービスやアプリケーションでの「不正アクセス」や「アカウントの乗っ取り」といった被害は後を絶たず、サイバーセキュリティの重要性が高まっている。

　前編では、映画『スマホを落としただけなのに』のストーリーをもとに、個人情報を守るための対策法を、情報セキュリティ対策の強化や優れたIT人材の育成に取り組む、独立行政法人情報処理推進機構（IPA）セキュリティセンター企画部の加賀谷伸一郎氏に解説いただいた。後編では引き続き加賀谷氏に、IPAの相談窓口に多く寄せられている相談事例と被害に遭わないための防止策について話を聞いた。

 

スマホ決済の不正利用、発端は“フィッシング詐欺”

――クレジットカードや電子マネーをスマホに登録して支払いを行う「スマホ決済」の普及も進んでいますが、便利な半面、危険だと感じている人も多いと思います。セキュリティ対策で心掛けるべきことは何ですか？

加賀谷伸一郎（以下、加賀谷）　昨年7月にセブン-イレブンのスマホ決済サービス「7Pay（セブンペイ）」で、第三者の不正アクセスによる不正利用被害が相次いだことを受け、経済産業省が、セブンペイを含む決済事業者に対し、不正利用防止のための各種ガイドラインの徹底と、セキュリティレベルの向上を求めました。その結果、現在では、安全なシステム環境が整ってきています。

　しかしその一方で、不正の手口も日々進化しているのが現実。セキュリティが強固になる裏で、人間心理の弱点を突く詐欺的な手法が増えているんです。被害に遭わないために一番大切なのは、“最新の不正利用の手口を知っておくこと”。ニュースを見聞きし、騙しのテクニックを知ることが、被害防止対策につながります。

――不正利用の手口にはどういったものがありますか？

加賀谷　例えば、「PayPay」などのQRコード決済アプリを普通に使用している中では、第三者による不正利用はまず起こりません。なぜかというと、不正利用は「フィッシング詐欺」が関係しているケースがほとんどだからです。これは、通信事業者や決済事業者を装って、対象者にメールやSMS（ショートメッセージ）を送り、そこに記載された偽のURLにアクセスさせ、ユーザID、パスワードなどのアカウント情報を入力させ、ログイン情報や個人情報を盗むという詐欺です。

　不正を働く者は、「キャリア決済が不正利用された可能性がある」など、イレギュラーなことが発生したことを装い、フィッシングサイトへのアクセスを誘導してきます。スマホ決済を利用する際は、正しいログイン手順を頭に入れ、いつもと違う手順を要求された場合や、不審なメッセージが届いたときはむやみにアクセスせず、アプリのサポートセンターに問い合わせるという心構えが、騙されないための重要なポイントかと思います。スマホ決済による不正利用の被害が多発していることから、近頃はアプリ公式サイトに「フィッシング詐欺にご注意ください」といった警告文が掲載されていることも多いので、そちらもチェックするようにしてください。

 

宅配便業者を装ったSMSに注意！

――そのほか、近年相談が多く寄せられている手口はどういったものが多いでしょうか？

加賀谷　最近では、「お客様宛にお荷物のお届けにあがりましたが不在のため持ち帰りました」などと、宅配便業者を装ったSMSが届いたという相談も多く寄せられています。これは、先ほども例に挙げたようにフィッシングサイトに誘導したり、偽のアプリをインストールさせることでスマホ内のデータを盗むという手口です。

　パソコンの場合は単体でインターネットに接続することはできませんが、スマホは単体で通信ができ、通話機能もあるため、パソコンよりも利用率が高いんです。実際、「パソコンは使えないけど、スマホは使えます」という人も多いですよね。そのぶん、スマホ利用者はパソコン利用者よりもターゲットにされやすくなっています。