キャッシュレスを進めていけば、必ずこのような問題が起きる…と思っていたら、案外早い段階で出てきてしまった。
本人認証
ドコモ口座で不正利用があったと発覚して世間でいろいろと問題視されているが、これはキャッシュレス化を進めていく中で起きやすい問題だという事は、おそらく関係者の間ではわかっていた事ではないかと私は思っている。
とかく問題視されるのは本人確認のプロセスの部分で、ここに甘さがあると不正利用が行われる事になる、というのは、以前セブンイレブンが開始し問題となったQRコード決済「7pay」でも実証済みである。
にも関わらず、その問題と似たような事を発端にして、またしても問題が起きてしまった。
本人確認を多段階で実施しなかった事、そしてその本人確認をドコモも銀行も、双方が違いに「ドコモ(銀行)が行っているから大丈夫だろう」という判断の下に起きてしまっている。
マニュアル通りの仕事しかできないのか? と言いたくなるような、大企業病ゆえの問題としか思えないお粗末さである。
これ、ドコモとか銀行の社員で被害に遭っている人、いないのだろうか?
自分が被害に遭うという認識があったら、もう少しマトモな対応をしていたと思うのだが。
安心は永遠にない
私は、少なくとも電子決済には安心というものは永遠にないと思っている。
オリジナルをコピーして、それがコピーであるかどうかの判断が付かなくなるというのがデジタル世界の複製である。
唯一、プロックチェーンという仕組みは、その整合性の立証の難しさから、今は有効と思うが、これもAIが今よりもさらに高度に発達した後の世界で安心かといえば疑問である。
フィッシングサイト
今回の問題としては、ドコモも銀行側も情報の漏洩はない、としている。
情報漏洩していないのに、不正利用され出金されていたとなると、考えられる問題は個人情報を自らが漏洩したとしか考えられない。
自分で漏洩する…考えにくい話だが、これを行ってしまう可能性のある問題がフィッシングサイト問題である。
オリジナルのサイトと寸分違わぬサイトを作り、ユーザーをそこに誘導、そのまま情報を記載させてその情報を抜くというのが、フィッシングサイトの役目である。
そしてそのサイトへの誘導は、主としてメールで行われ、ユーザーに対して危険を煽る内容で誘導する。
例えば、不正アクセスがあったので登録内容を再度入力して欲しいとか、荷物が戻ってきたので送り先を再度入力して欲しいとか、そういう類いのものである。
ここで考えねばならないのは、それらメールの送り主のドメインが、オリジナルのドメインと酷似していたりする事である。
しかもメールの送信者(X-Sender)は偽装ができるという事。こちらもメールそのものは本人確認が成されているわけではないので、違う情報を載せていてもメールは送信できてしまう。単に送信サーバの情報が確認されれば良いだけの事である。
こうした知識を持っている人は、まだ自己防衛できるが、そうした知識のない人はこれらに引っかかってしまう。
フィッシングサイト問題は、そうした知識のない人を狙った手口であり、見る人が対象メールを見れば大凡それがニセモノである事を見抜く事はできる。
なので、基本的にはすべての人のITリテラシーの向上が一番の防衛策となるが、そこに行き着くのは中々にして難しい話である。
というわけで、サイバー犯罪の大部分は、難しすぎてわからない、というIT特有の問題から起きている事がほとんどである。
なのでサービスの開発者や企画者は、自らがそのサービスで被害に遭う可能性を考えた上で仕組みを考えないと、一定の安心を得られる仕組みにはならない。
自らが被害に遭うとなれば、そのプロセス確認もより真剣になるだろうし、それが複数人いれば、チェックも厳重になるはずである。
キャッシュレス化そのものは、今回の問題があろうがなかろうが進んで行く。それは世界的なニーズの元に進んでいる話なので、今更逆戻りはできないだろう。
その上で、どれだけセキュアな環境を作れるかが、今後課せられる問題だと思う。
最近のコメント