QRコード決済は大変便利ですが、その簡便さを悪用した詐欺が非増えているようです。報道によれば数万円とか十数万円を騙し取られたという例が後を経たないようです。この記事では筆者がよく使用するPayPayを取り上げてよくある手口と防衛法などやQRコード詐欺そのものいついても説明します。
PayPay残高支払いの上限額を知っておこう
普段は何百円とかせいぜい何千円とかの決済にしか使わないと思いますが、PayPayチャージ残高があれば思ったより多額の決済ができてしまいますので、その上限を把握しておきましょう。
| 過去24時間 | 過去30日間 | |
| 本人確認未完了 | 50万円 | 200万円 |
|---|---|---|
| 本人確認完了済み | 100万円 | 200万円 |
残高支払いでは、チャージされている残高が上限であるのはいうまでもないですが、上記の額まではチャージできるということです。Suicaが2万円上限に比べるとかなり高額です。
PayPayカード払いでは本人カードと家族カードで異なり、他社クレジットカード払いでも額は異なりますので確認しておいてください。
PayPayに50万円もチャージするやつはいないだろう!と思いますよね。
しかしPayPayカードを作ると、チャージ残高不足の場合は自動的に全額はPayPayカードから支払われますので、チャージ残高5,000円でも5万円の買い物ができてしまう(各カードにより限度額が異なります)場合があります。
送金をする場合も限度額があります。
友人と食事をして友人がまとめて支払ってくれた場合、自分の分を友人に返すわけですが、その際には現金以外にPayPay残高送金を使うかもしれません。
残高送金の上限は支払い上限とは異なります。
| 過去24時間 | 過去30日間 | |
|---|---|---|
| 本人確認未完了 | 10万円 | 50万円 |
| 本人確認完了済み | 30万円 | 100万円 |
PayPayで買い物した返金は全て店舗操作のみ可能
QRコード決済に絡む詐欺に使われる手口で、「買い物をした商品が在庫確保できなくなったのでキャンセル処理をするのでPayPay(や他のQRコード決済)で受け取り処理をしてください」といった偽メールが使われるものがあるようです。
PayPayで支払いをした場合の返金処理についてはユーザー側操作はなく全て店舗側が処理を行いキャンセル処理が完了すると自動的に残高に戻ります。
ユーザーが自分で何かの番号を入れたりなどはありませんので、そういうのを求められた100%詐欺。
PayPayを安全に保つ6つのポイント
ポイント1:スマホのセキュリティを保つ
スマホは必ず生体認証(iPhoneであれば顔認証、Androidであれば一般には指紋認証)を設定すること。そしてパスコードは安直な4桁数字ではなく英数字10文字以上を設定すること(筆者はそうしています)。
ポイント2:PayPayアプリで「端末認証を有効にする」
端末認証を有効にすることで、PayPayアプリ起動時には必ず生体認証またはパスコード入力が求められますので、貴方のスマホのPayPayアプリで貴方以外の人が手に取って勝手にPayPay決済できない可能性が高くなります。
支払いの都度生体認証が必要になりますが大した手間ではありません。
自分のスマホのPayPayを知らないうちに悪用されて凹むよりずっと良いかと思います。
ポイント3:PayPayアプリは1台のスマホのみインストールする
複数台持ちだと便利だからと複数のスマホにPayPayアプリをインストールしている人もいるかもしれません。
しかし複数台持ちだとどうしても管理がおそろかになる端末がでてきてしまい、その端末のPayPayが悪用される可能性もあります。
自宅内でもしょっちゅう自分のスマホの行方を探す人は、PayPayを含むQRコード決済やタッチ決済、モバイルSuicaなどは使わないことです。
ポイント4:オートチャージは無効にする
安全のためにはオートチャージを無効にしておきましょう。
オートチャージは登録した銀行口座もしくは登録したクレジットカード・PayPayカードから行えますが、銀行口座登録やPayPayカード以外のクレジットカード登録は即刻削除しましょう。
使いすぎ防止のためにもチャージはセブン銀行ATMなどから現金チャージするのが一番安全です。
ポイント5:クレジットカード支払いは登録しない
PayPayのQRコード決済では残高からではなくクレジットカードを登録して支払うことができます。
安全のためにはPayPayのQRコード決済でクレジットカード支払いは設定しないこと。
ただし「PayPayカード」についてはQRコード決済の候補から外すことはできません。優先順位設定して最初に残高から支払い、次の候補をPayPayカードにすることは可能です。
店頭での決済時には通常はデフォルトで赤い残高決済画面になりますが、優先順位を変更するとデフォルトが青い残高決済画面になりますので間違えないように。
ポイント6:安直にPayPayカードを作らない
PayPayカードを持っておらず、他社クレジットカードをPayPayに登録していない場合は登録さえしなければ良いですし、登録してしまっても削除できますから心配無用です。
PayPayは使うけどYahoo!ショッピングやY!モバイルは使わないというのであれば、PayPayカードは極力作らない方が無用なリスク低減になります。
PayPayアプリとPayPayカードの関係
PayPayカードはYahoo!ショッピングを多用する人にはポイント割増がありメリットが大きいので筆者は使用しておりますが、PayPayアプリでのQRコード決済でPayPayカード支払いを除外できないというデメリットもあります。便利だからといって安直に作るべきではありません。
以前は「PayPayカードアプリ」があって「PayPayアプリ」とは独立しており、そこで請求明細や利用状況を随時確認することができましたが、現在は「PayPayアプリ」に統合されており、請求明細や利用状況の確認などは「PayPayアプリ」からしか行えません。
それ以前の問題として、PayPayカードは申込時には「Yahoo! JAPAN IDとPayPayの連携が必要」であり、連携するためにはPayPayアプリから操作する必要があります。
QRコード悪用詐欺の代表的手口
QRコードを悪用した詐欺は「クイック」+「フィッシング」の合成語のようです。
印刷された既存のQRコードを読み取って決済するタイプ(ユーザースキャン)に多くみられます。店員がレジのスキャナーで客のスマホのPayPayアプリのQRを読み取ったり、レジにある端末を店員が操作し客は自分のPayPayアプリでQRコードを読み取らせるタイプ(ストアスキャン)では詐欺は難しいでしょう。もちろん店員が悪いやつなら話は別ですが…。
偽の店頭提示用QRコード
巷には「支払いはこのQRコードを読み取って行って下さい」というもの結構あります。すなわちユーザースキャン方式です。
街中にあるレンタルサイクル機や駐車料金支払いなどで、機械にQRコードが印刷されておりそれを読み取って支払うタイプで、店頭のレジ近くに置かれている大きめのQRコードが印刷されているものを読み取る(店舗提示型)のも同じです。
事前に偽のQRコードを印刷したシールを作っておいて、店員が見ていないうちに偽のQRコードを上から貼り付けることも不可能ではありません。精算機などにQRコードが印刷してある場合でもそれが本物だという保証はどこにもありません。
できるだけユーザースキャン方式での支払いは避け、面倒でも現金支払いか他のタッチ決済を使いましょう。
決済用QRコード盗撮
ストアスキャン用にスマホに自分のアプリでQRコードを表示させた場合、支払い直前にQRコードを表示し支払い確認が終えたらすぐに支払いアプリを終了させホーム画面に戻りましょう。
支払い画面のQRコードを盗撮されたら悪用されます。
飲食店各テーブルのQRコード
最近、省力化のためにオーダーは各テーブルに置かれているQRコードをスキャンして注文する店舗が出てきています。
入れるのがテーブル番号(これはQRコードに組み込まれている場合もある)とオーダーだけなら問題ないですが、そこで決済までさせようとするのは要注意で普通はオーダーを入れるまでです。食べ終わったら上の写真にあるようなQRコードが印刷されたレシートみたいなのをレジに持っていって会計します。
日本のレストランは後払いが基本ですから、オーダーしたものが来ないのに支払う人はいないとは思いますが、中にはそういうシステムなのかと思って支払う人がいるかもしれません。
偽サイトに誘導し偽サイトではそのお店のメニューがそっくり並んでいてオーダーできるように見えて、オーダー後には「会計でお待たせしないため」とか称して決済情報をいれさせるのかもしれませんので注意しましょう。
めったにないとは思いますが、飲食店での支払いは食券販売機(現金・タッチ決済・ストアスキャンのQRコード決済)を使うか、食べ終えてから帰る時にレジで店員の前で支払い処理をしましょう。その場合でもユーザースキャン型は偽QRコードが貼り付けられていないかを確認しましょう。
チラシやメールに詐欺サイト誘導QRコード
ちらしやメールにQRコードが印刷(添付)されていても、それを無闇にスキャンしてはいけません。
QRコードは決済のみならず、URLを埋め込んで簡単にブラウザでアクセスさせることが可能です。
まっとうな企業サイトなら問題ないですが、フィッシングと同じで偽サイトに誘導して、クレジットカード情報や個人情報を入力させるなどがあります。
最近の例では、賃貸住宅へのチラシに「家賃の振り込み」をQRコード経由でアクセスさせてクレジットカードを登録させたりするものです。
これがなかなか周到で、チラシは封筒に入って投函され、重要という朱印とともに管理会社のロゴ入りでぱっと見では本物に見えてしまうようなものだそうです。
賃貸住宅の管理者はアパートやマンションであればどこかに掲示されていますので、その名を詐称するのは容易いことです。偽のチラシを当該賃貸住宅全戸に投函すれば、誰かが疑って本物の管理会社に連絡するまでに振り込んでしまう人もいるかもしれません。
他にも普通はスパムメールとしてメールサーバーに隔離(フィルター)されてしまうものでも、QRコードだと油断してユーザーが読み取ってしまい、偽サイトに誘導して個人情報やクレジットカード情報を入れさせるものもあります。
印刷物やWebサイトやメールのQRコードの偽物にひっからないために
Androidは内蔵カメラアプリ、iPhoneやiPadでも内蔵カメラアプリを起動して、QRコードにレンズを向けましょう。
カメラアプリは自動的にQRコードを認識して、それがURLであればそのURLを画面に表示してくれます。
ここで表示されるURLがhttpではなくhttpsかどうか、ドメインがその企業のものに間違いないかなどを確認しましょう。
仮にタップしてサイトに飛んだらいきなり詐欺にあうわけではないですが、位置情報が漏れたりします(あなたが今どこにいるかわかる)し、アクセスしただけでマルウェアを埋め込まれてしまうこともあります。
カメラアプリを使ってQRコードを人間が見てわかる文字に変換して判断するのが大切です。