欧米でも「決済アプリの不正出金・詐欺」多発、スクエアのCashAppやZelleでも──ドコモ、PayPayだけではない

ドコモ口座やPayPayなどを通じた不正出金が相次ぎ大きな問題となったが、日本だけではなく海外でも被害が拡大している。もともと欧米では電子・キャッシュレス決済が日本に比べ先に普及しており、電子決済詐欺は今に始まった問題ではない。さらにこのところ、新型コロナウイルスの感染拡大でキャッシュレス決済が加速していることや、政府や医療・ヘルスケアのサービスでキャッシュレスが活用されていることを悪用した詐欺が急増している。

アメリカでは1-4月の被害額が14億円超

EUの政策執行機関である欧州委員会が2019年に実施した調査では、回答者約2.8万人中、56%が過去2年間に「身元詐欺」を含むネット決済関連の詐欺被害にあっていたことが明らかになっている。

アメリカではコロナ禍の中で詐欺被害が拡大している。2020年1~4月の間に連邦取引委員会(FTC)に寄せられた、コロナ関連の詐欺被害届が1万8000万件を超え、被害総額は1344万ドル(約14億1708万円)達したという。

KYCをしていても増える不正増加 ロボコール、SIMスワップとは?

ただ欧米での詐欺被害と日本の不正出金問題とでは大きく異なる点がある。

ドコモ口座の不正出金では、「KYC(本人確認)」が問題視された。NTTドコモが9月10日に開いた会見では、CISO(最高情報セキュリティ責任者)の丸山誠治副社長が、「ドコモ口座の作成にあたって(NTTドコモ側の)本人確認が不十分だったことが原因だと認識している」と述べている。

これに対し海外の場合は、KYCがしっかりと行われているにもかかわらず詐欺被害が出ているのだ。

KYCに不備がないにも関わらず、なぜ不正が増加しているのか。海外ではフィッシング詐欺によるAccount Theft(口座乗っ取り)が主流のようだ。その手口はたとえば、偽サイトに掲載した「Phone Number Spoofing(偽の電話番号)」や、自動音声案内で個人情報を聞きだしたり一方的に商品・サービスを売りつけたりする「Robocall(ロボコール)」、SMSやメールのリンクからIDやパスワードといったクレデンシャル情報を引きだす手口である。欧州ではコロナ拡大以降、被害者のスマホ番号を手もちのSIMに移転させる「SIMスワップ」も増えている。

Scammer(スキャマー。詐欺師のこと)はこれらの情報を使って被害者のアカウントにログイン、あるいはパスワードなどを変更してアカウントを乗っ取り、犯罪用のアカウントに送金する。

スクエア開発のアプリCash Appで不正出金の被害届が増加

最近のケースで見逃せないのが、ユーザー数3000万人を誇るP2P送金アプリ、Cash Appの例だろう。

米キャッシュレス決済サービス企業Squareが開発した同アプリは、専用デビットカードの発行や割引特典、手数料ゼロが魅力だ。Squareの取扱高(GPV)がコロナの影響で大幅に落ち込んだのに対し、Cash Appの収益は大幅に上昇。2020年第2四半期は前年比(YoY)361%増の12億ドルを記録した。

そうした中で、多数の米消費者から、不正出金の被害報告が寄せられている。NBC系列のローカルTV局KJRH-TVは、3000ドルの被害を受けた別の女性の生々しい体験談を報道。FOX系列のローカルTV局WBRC FOX6は、それぞれ325ドルと960ドルを失った2人の被害者に取材した。

このような例はま氷山の一角だが、被害者には共通点がある。自らスキャマーに個人情報を漏えいしてしまっていることだ。

こうした被害者は「ログインできない」「使い方がわからない」「カードが利用できない」といった理由で、インターネットでCashAppのサイトを検索。そして「偽サイトに掲載されている偽の電話番号」に電話をかけ、誘導されるがままに情報を漏えいしてしまうというわけだ。

本来、CashAppのカスタマーサービスには、CashAppのコンタクトページから直接連絡する必要がある。公式の電話番号は自動ガイダンスサービスのみで、直接サポートチームと会話することはできないにもかかわらずだ。

ログイン情報が漏えいした後、口座からお金を引き出されて慌てて再度連絡すると、今度は銀行口座の情報まで流出させてしまい、銀行の口座まで空っぽにされるという最悪のケースも起こり得るようだ。

ウェルズ・ファーゴなどと提携のZelle、バイオメトリクス分析で2000万円流出防止

P2P口座間直接送金サービス「Zelle」を通した詐欺事件では、被害を未然に食い止めることができて注目された。

Zelleはバンク・オブ・アメリカやウェルズ・ファーゴ、JPモルガンチェースなどが設立した企業が提供している、2017年6月にスタートしたばかりのサービス。開始当初から30以上のアメリカ国内金融機関とパートナーを結んで注目された。今では100を超える銀行やクレジットユニオンと提携している。

Zelleがライバルと一線を画すのは、大手銀行のモバイルアプリに組みこまれている点だ。2020年上半期の取引件数は5億1900万件、総額1330億ドル(約13兆9796億円)が取引されるなど利用が急拡大している。

そのZelleが注目されたのは、2020年9月、数年前からZelleと提携している大手銀行はすんでのところで20万ドル(約2103万円)の流出を食い止めたからだ。英FinTechリサーチ企業Finextraの情報によると、スキャマーは被害者からユーザー認証に必要なIDやパスワードといったクレデンシャル情報をたくみに聞きだし、アカウントに侵入。リアルタイムで詐欺用のアカウントに送金する手口を使おうとしていたという。

幸いにもその銀行は「行動生物測定分析」と呼ばれるバイオメトリクス分析テクノロジーを導入していたため、犯罪行為を早期に特定し未然に防止できた。

この「行動生物測定分析」とは各顧客の行動パターンを分析し、作成されたプロファイルに基づいてユーザー認証を行うという分析法だ。例えばこのケースでは、ログインパターンやマウスのスクロールの仕方が本物のユーザーのものとは異なっていたところから、犯罪が発覚したのだという。

RevolutやVenmoでも? 企業と消費者に求められることとは

ここで紹介したCshAppやZelleのみならず、最近日本に進出したばかりのRevolut(英国)でも、ユーザーのFacebookグループやRedditなどで多額のお金が消えたという被害の声が上がっている。また米国で広く支持されているPayPalの決済サービスVenmoでも不正出金が報告されている。見知らぬ人からの入金依頼を許可するとアカウントがハッキングされてしまうというのだ。これらの事例の真偽のほどは定かではないが、欧州のメディアなどでは記事として紹介されているようだ。

こうした被害を食い止めるためには何が必要だろうか。まずサービスを提供するP2P決済企業や提携している銀行が求められるのは、「リアルタイム取引の真偽を即座に判断できるようになる」ことだろう。Zelleのケースのように新しい技術を使って取引の真正性を確認することも一つの手だ。

だが、サービスを利用する消費者側の意識改革も必須ではないだろうか。たとえば、いくら最新のフィッシング詐欺対策機能の付いたセキュリティ対策ソフトを利用していても、スキャマーやサイバー犯罪者は常に新手の手段を講じてくる。攻める側と守る側のいたちごっこという現状だ。

そもそも米国で起きている詐欺の手口──偽のサイトに偽の電話番号を掲載する、自動音声案内で個人情報を聞き出す──は、何も新しい手段でも何でもない。やはり消費者側にも知識と備えが必要といえるだろう。

多くのP2P決済サービスでは、不正利用による損害は補償されない。中にはPayPalなど一部の例外はあるものの、大半が泣き寝入りだ。

民間の非営利団体・米商業改善協会(BBB)のヴァイス・プレジデント、ガレット・スミザーマン氏は対策として、モバイル決済アカウントに銀行口座やデビットカードではなく、クレカをひも付けるようにアドバイスしている。万が一不正出金などの被害にあった際、クレカであれば補償される可能性が高いためだ。

残念ながら現時点において、「100%安全な電子決済」は存在しない。「高度なセキュリティー」やKYCに過度に依存することなく、自らも積極的に徹底的な守備に徹することが、被害から身を守る唯一の手段なのかもしれない。

文:アレン琴子
編集:濱田 優
画像:Tero Vesalainen,Sulastri Sulastri,Tada Images / Shutterstock.com