モバイル電子マネーがマルウェア攻撃の標的に

日本でもキャッシュレス化の動きが盛んである。普及の呼び水として消費税増税時のキャッシュバックを使い、企業も各々の電子マネーなりクレジットカードなり顧客の取り合いに躍起になっている。

そして最近の潮流として、モバイルFeliCaなりQRコードなりスマートフォンで決済できるようにするe-wallets(イーウォレット、電子財布)の後押しが強いが、スマートフォンの脆弱性を狙ったマルウェア攻撃が増えているという。

以下の記事はベトナムでの事例だが、日本でも同様の事になる可能性はある。

e-walletを標的としたハイテク犯罪(Vietnam net)

  • Kaspersky Labs Mobile Malware Evolution Reportによると、2018年のモバイルへのマルウェア攻撃は6,640万件から1億1,650万件に倍増
  • 多くのe-walletはISO27001など国際的なセキュリティ基準に準拠し、ソフトウェアに脆弱性が見つかった場合にもすぐ対応しているが、それでも攻撃が続く
  • 攻撃が続く理由は「サービスプロバイダへの通知と対応の遅さ」「ユーザーレベルでの対策の遅さ」
  • ユーザーレベルでは二段階認証などの対応が必要

補足

OSであろうとシステムであろうと、脆弱性が見つかった場合は割とすぐに是正されることが多い。しかし、スマートフォンの場合はユーザーにファームウェアのアップデートがすぐに流れなかったり、電子マネーを使えるアプリに対策がされなかったり、ユーザーがアップデートを放置したりと、エンドユーザーレベルにまで脆弱性対策が行き届きにくい。

アプリケーションレベルでは強制アップデートなどユーザーに対策を矯正することが可能だが、恐らく日本ではOSのアップデートの遅さが突かれるのではないかと考えられる。

特にAndroidの場合、スマートフォンにメーカー独自の機能やアプリケーションをシステムレベルで組み込んでいるケースが非常に多い。

そうすると、セキュリティの脆弱性が見つかってファームウェアのアップデートが供給されても、メーカーがファームウェアを流さない(或いは流せない)ケースが見られる。また、ビジネスモデル上「短期間で買い替えてもらいたい」わけで、端末のサポート期間自体が短いケースも多い。

ベトナムの場合は、MoMoなど既に電子決済が大きく普及している電子決済大国である。

関連記事:ベトナムで有名なスタートアップ10社(上)

日本の場合は、割合としてはまだまだなので、今後普及していくのであれば標的として旨味が出てくるだろう。ユーザーレベルでは記事にもある通り二段階認証など「スマートフォンに入っている個人情報が抜かれることを前提とした対策」が必要だろう。

参考文献

Vietnam net, “High-tech criminals targeting e-wallets: firms”, 6 Apr 2019

       

この記事の著者 HAL について

金融・マーケティング分野の機械学習システム開発や導入支援が専門。SlofiAでは主に海外情勢に関する記事、金融工学や機械学習に関する記事を担当。

HAL の記事一覧 SlofiAのtwitterアカウント@slofia_finance