BLOG

ブログ
ブログ

某コンビニチェーンのQRコード決済サービスの不正利用と
対策について

2019年7月1日から某コンビニチェーンがサービスを開始した話題のQRコード決済サービスですが、

早速不正アクセスや不正利用が相次いでいるようです。なぜ、不正アクセスや不正利用が行われてしまったのか

を解説していきたいと思います。

 

どうやって不正アクセスされてしまったのか?

2019年7月3日時点では某コンビニチェーンのQRコード決済サービスは新規会員登録を行う際に

生年月日の入力が任意であり、実質「メールアドレスとパスワードのみ」で登録できてしまいます。

QRコード決済サービスを簡易的に試してみたい方々は「メールアドレスとパスワードのみ」

で登録している可能性が高いと思われます。

また、実質「メールアドレスとパスワードのみ」がわかればパスワード変更ができてしまう状況であり、

脆弱性が高いという声が上がっておりました。

 

どのようにすれば不正アクセス対策ができたのでしょうか?

結論から申し上げますと各種会員登録で本人特定に使われているSMS認証を導入すれば良かったのです。

SMS認証とは会員登録の際、自身の携帯電話番号を入力し、最終的にSMSで送信されてくる認証番号を

入力することで新規アカウント登録を完了させる方法です。

SMSは電話番号に対して送信されるので、当該電話番号が帰属する携帯電話端末を有する利用者と

ログインしようとしている利用者の同一性を確認することでセキュリティを高めることができます。

今回の某コンビニチェーンのQRコード決済サービスのアカウント作成ではSMS認証は導入されていませんでした。

エンドユーザーは同じメールアドレスとパスワードを様々なサービス利用において使い回していることが多く、

今回もどこかで漏れてしまったメールアドレスとパスワードを不正に入力されてしまい、

そのまま利用されてしまったことが不正にアクセスされてしまった原因と考えられます。

 

不正アクセスを防ぐためにもSMS認証を導入いただくことでセキュリティを高めていただくことをお勧めします。

弊社のSMS認証専用APIであればパスワードの生成や認証までを1つのAPIで構築することができるので、

簡単かつ迅速に開発工数を削除し、SMS認証を実装することができます。

API開発が必要である場合であっても弊社はご協力させていただきますので、

SMS認証のご導入を検討されている企業様がいらっしゃいましたら、ぜひお気軽にお問い合わせください。