日本でもキャッシュレス化の動きが盛んである。普及の呼び水として消費税増税時のキャッシュバックを使い、企業も各々の電子マネーなりクレジットカードなり顧客の取り合いに躍起になっている。
そして最近の潮流として、モバイルFeliCaなりQRコードなりスマートフォンで決済できるようにするe-wallets(イーウォレット、電子財布)の後押しが強いが、スマートフォンの脆弱性を狙ったマルウェア攻撃が増えているという。
以下の記事はベトナムでの事例だが、日本でも同様の事になる可能性はある。
e-walletを標的としたハイテク犯罪(Vietnam net)
- Kaspersky Labs Mobile Malware Evolution Reportによると、2018年のモバイルへのマルウェア攻撃は6,640万件から1億1,650万件に倍増
- 多くのe-walletはISO27001など国際的なセキュリティ基準に準拠し、ソフトウェアに脆弱性が見つかった場合にもすぐ対応しているが、それでも攻撃が続く
- 攻撃が続く理由は「サービスプロバイダへの通知と対応の遅さ」「ユーザーレベルでの対策の遅さ」
- ユーザーレベルでは二段階認証などの対応が必要
補足
OSであろうとシステムであろうと、脆弱性が見つかった場合は割とすぐに是正されることが多い。しかし、スマートフォンの場合はユーザーにファームウェアのアップデートがすぐに流れなかったり、電子マネーを使えるアプリに対策がされなかったり、ユーザーがアップデートを放置したりと、エンドユーザーレベルにまで脆弱性対策が行き届きにくい。
アプリケーションレベルでは強制アップデートなどユーザーに対策を矯正することが可能だが、恐らく日本ではOSのアップデートの遅さが突かれるのではないかと考えられる。
特にAndroidの場合、スマートフォンにメーカー独自の機能やアプリケーションをシステムレベルで組み込んでいるケースが非常に多い。
そうすると、セキュリティの脆弱性が見つかってファームウェアのアップデートが供給されても、メーカーがファームウェアを流さない(或いは流せない)ケースが見られる。また、ビジネスモデル上「短期間で買い替えてもらいたい」わけで、端末のサポート期間自体が短いケースも多い。
ベトナムの場合は、MoMoなど既に電子決済が大きく普及している電子決済大国である。
日本の場合は、割合としてはまだまだなので、今後普及していくのであれば標的として旨味が出てくるだろう。ユーザーレベルでは記事にもある通り二段階認証など「スマートフォンに入っている個人情報が抜かれることを前提とした対策」が必要だろう。
参考文献
Vietnam net, “High-tech criminals targeting e-wallets: firms”, 6 Apr 2019
