叡智の三猿

三猿×情報セキュリティ×はてな で発信します。

新しい生活様式と電子決済

f:id:slowtrain2013:20200624162048j:plain

新しい生活様式

平成は「失われた30年」と呼ばれましたが、令和はコロナ禍で予測不能な世界となりました。

厚生労働省は、5月4日に新型コロナウイルス感染症専門家会議からの提言を踏まえ、新型コロナウイルスを想定した「新しい生活様式として、今後、日常生活の中で取り入れるべき実践例を示しました。
www.mhlw.go.jp

新型コロナウイルスの特効薬がいつ出るかは分かりません。少なくともそのときまでは、好む好まざるに関わらず、わたしたちは「新しい生活様式」を踏まえた日常生活を送る必要があります。

「新しい生活様式」は、買い物、娯楽・スポーツ、公共交通機関の利用、食事、冠婚葬祭などの親族行事といった、さまざまな場面でわたしたちが取り入れるべき具体例が示されています。

なかでも「買い物」は、日常生活そのものですから、特に意識する必要があると思います。

「新しい生活様式」のなかでは「買い物」について次の実践例を定めています。

  • 通販も利用
  • 1人または少人数ですいた時間に
  • 電子決済の利用
  • 計画をたてて素早く済ます
  • サンプルなど展示品への接触は控えめに
  • レジに並ぶときは、前後にスペース

スマートフォンを使った決済の不正利用

「情報セキュリティ」の視点で実践例を見て気になるのが「電子決済の利用」です。

電子決済の推進は、新型コロナの問題が出る前から、経済産業省が力を入れてました。2025年までに日本のキャッシュレス決済率を40%にするという目標を掲げていますが、新型コロナの影響でこの目標は楽々突破するでしょう。いまや現金を手で触ることが感染リスクを招きますからね・・・。

電子決済はコンビニ・スーパーでの日用品の買い物で日々実施されます。そして、ITに強い人も疎い人も電子決済を使います。

電子決済の爆発的普及で「電子決済のスキを突いた不正利用」が、深刻な社会問題になると思います。

この問題で思い出すのは、昨年7 月に起きた、セブン・ペイが運営するバーコード決済サービス「7payの不正アクセス問題」です。

7月にサービス開始された「7pay」は、多くの不正アクセスや不正使用の被害により、僅か2ヶ月の9月末で廃止される運命を辿りました。
www.asahi.com

スマホ利用者は、攻撃者に電子決済サービスの不備を突かれ、不正ログインされると、クレジットカード情報等が窃取され、勝手に取引がされる被害を受けます。

f:id:slowtrain2013:20200509131515p:plain
スマホ決済の不正利用

パスワード使い回しをSTOP!!

不正アクセス」を防ぐための基本的な対策は、パスワードの設定法の改善です。パスワード設定法の骨子は次のふたつです。

  1. 長い桁(できれば8文字以上)で、複数の文字種(英大文字、小文字、数字、記号のうち少なくとも3種類)のパスワードを使うパスワードとして簡単なもの(例えば123456)は、攻撃がされやすいです。簡単なパスワードは、IDとパスワードを収録した辞書を使って攻撃する「辞書攻撃」のターゲットとなります。
  2. 複数のサービスで同じパスワードを使わないあるサービスから流出したIDとパスワードを使って、別なサービスで不正ログインをする攻撃を「パスワードリスト攻撃」と呼びます。複数のサービスで同じパスワードを使いまわさないことが必要です。

そうはいってもなかなか、このふたつを満たすパスワードを作り覚えておくことも大変ですね。

そこで、パスワード作りのテクニックを紹介します。

① 「絶対に忘れないフレーズ」をイメージ
もし、あなたが広島カープのファンであれば「頑張れカープ」という具合です。

まずこれをローマ字で書きます。

  • ganbarecarp

② フレーズの一部を大文字に
次に”ganbarecarp”の文字の一部を大文字にします。

③ もうひと工夫して3種類の文字に
パスワードは、英大文字、小文字、数字、記号のうち少なくとも3種類ですので、もう一種類追加しましょう。たとえばNO1を入れてみます。

  • ganbareCarpNO1

④ 利用サービス毎に文字を追加
これを基準としてあとはサービスに応じて追加する文字を入れます。
メールサービスAならばー

  • ganbareCarpNO1A

ECサービスXならばー

  • ganbareCarpNO1X

という具合です。

なんだか、簡単に複雑なパスワードができそうな気がしますよね???

アルバイト少年によるカード情報盗み見

ただし、パスワード強化による「不正利用対策」は軽減策ではありますが、回避策ではありません。これは絶対的な対策では無いと思いましょう。

6月23日、レジ打ちの店員が客のクレジットカード番号を記憶し、その情報を不正使用して、1000万円以上もの買い物をしたことが発覚し、逮捕される事件が起きました。

この攻撃方法ですと「パスワード強化」は功を奏しません。
www.nikkei.com
このケースでの抜本的な回避策は残念ながら「決済にカードを使わないこと」しかありません。しかしこれでは「新しい生活様式」の実践例と矛盾しますね。

カードの利用者は「利用明細」をきっちりと確認し、不信があればカード会社に問い合わせることが必要です。店員が少しでも怪しい動きをしていたら、カード会社に利用記録を問い合わせることも必要です。「不正利用」されたことを早く利用者が気づくことが必要です。

お店とお客は信頼で成り立っています。その前提が壊れるとセキュリティは脆いのです。

いつの日にか、もっと自由な買い物が出来ることを願います。