第2回
QRコード決済、そして
AI(人工知能)に関連して
1. はじめに
今月になって、コンビニエンスストア「セブンイレブン」が事実上運用する、キャッスレス決済方式「7ペイ」の不正使用が話題になりました。その脆弱性と原因については、ここでは述べませんが、「セブンイレブンだから、遅くても7月11日までに運用を目指したために、安全性を十分検証せず不完全なまま運用したのではないか?」と冗談ぽく噂されています。あながち真実かもしれません。
利便性(コンビニエンス)を優先したあまり、安全性がおろそかにされたとの見方もあります。セブンイレブンだけでなく、キャッシュレス決済が雨後の筍のように、この1、2年、金融機関関係だけでなく、様々な業種から提案され、主なものだけで優に30を超えています。クレジットカードもその代表であり、鉄道系ICカードも決済機能を有しています。しかし花形はスマートフォン(スマホ)を利用した、いわゆるQRコード(バーコード)決済と呼ばれる方式です。
このQRコードに決済情報を入れて、スマホで表示し、店舗側のタブレット等で読み取る、逆に店側のタブレット等に決済情報を表示して、購入者が自分のスマホで読み取る方式です。今でも、クレジットカードやICカードで、直接お金を支払うことなく、店舗での支払いが可能です。しかし、決済を行う店舗側の負担、つまり費用が無視できないのです。クレジットカードでは少なくとも支払代金の数%、ICカードの決済でも、そのICカードを読み取る機械装置の費用が小さくありません。これを利用者のスマホを用いて、QRコードを読み取り、店側もスマホやタブレットを用いて決済しようとする方式なのです。すでに中国ではほとんどの店舗で利用可能で、かつ現金よりも多く決済されています。実は、このQRコードが曲者なのです。
2. QRコード
キャッシュレス決済(QRコード決済)はともかく、今ではQRコードを知らない人はほとんどいないでしょう。その名前を知らなくとも、四角形で、目玉のような2重の四角形が三角にあって、まだらのタイル模様が入っている図形を見たことがあると思います。現在では、ほとんどのスマホのカメラで、その四角形を撮影するだけで、詳しい文字や写真での情報が表示されます。その四角形の中に、URLと呼ばれるインターネットのウェッブ(ホームページ)のアドレスが書かれていて、自動的にそのウェッブを表示する仕組みになっているのです。
そのQRコードと親戚関係にあり、さらに馴染みが深いものがバーコードでしょう。今ではコンビニエンスストアやスーパーのレジで商品を購入する際には、必ず利用しています。太い線と細い線が十数本並んだ縞模様状のそれを機械で読み込むことによって、商品を識別し、あらかじめ登録していた値段と照合して、支払金額を求めているのです。バーコードには商品番号が、QRコードにはURLが書かれており、形が違うだけでほとんど同じように思えます。
しかしその仕組みは全く異なります。簡単に言うと、バーコードは十数桁の番号しか入っていませんが、QRコードには英数記号といったURLだけでなく、様々な情報が入っており、QRコードを作る人が勝手に多くの情報を入れることも可能なのです。情報の量だけで比較しても、バーコードの何十倍、何百倍も入れることが可能です。スマホでのQRコード決済は、それを利用しています。
3. QRコードの脆弱性
今まで以上に多用されようとするQRコードですが、一つ心配があります。
バーコードと違って、複雑な仕様や機能を有するQRコードゆえに不正に悪用されないかという危惧です。まず第一にQRコード自体にどのような情報が入っているか、人が認識できないという問題です。例えば、「これは神戸大学のQRコードです」と書いて、全く異なる悪意のあるサイ トに誘導することも可能です。QRコードを無条件に信用することなく、可能な限り確かめるようにしましょう。またQRコードは自分でさえ読めない情報が格納されているゆえに、自分だけが表示でき、自分が想定する相手だけが読み込めると思いがちです。実はそうではなく、画面が見える誰でもが読み込める、そして利用できることが多々あることをしっかりと自覚しなければなりません。自分が表示したQRコードを他者が使い込む(盗み出して使う)チャンスは十分あるのです。さらにQRコードには様々な機能があり、それを利用すると不正を働くことも可能になります。以前に特別なアプリと連携して、QRコードを読み取ると、自分の個人情報が他者に送られるという事件もありました。また二重の意味を 持つ、つまり二重の情報を格納できるQRコードも我々は開発しています。見た目は、何の変哲も無い、通常のQRコードですが、そのQRコードを通常のスマホで読み取ると、あるときはAという情報、またあるときはBという情報が読み出せるQRコードです。これを悪用すれば、Aだと思っていたQRコードが、ある日突然、悪意のあるBにすり替わるのです。