スマートフォン(スマホ)のアプリを立ち上げるだけで、店頭で決済ができるQRコード決済(スマホ決済)。スマホが生活の一部となってきた現在、手軽な決済手段として、大きな注目を集めている。しかし、その便利さゆえに脆弱(ぜいじゃく)性も併せ持っている。

 スマホ決済には、ユーザーが自分のスマホにQRコードを表示し、店舗側が端末で読み取る「利用者提示型」と、店頭で表示されたQRコードをユーザーがスマホで読み取る「店舗提示型」の2通りがある。利用者提示型の場合は、店側はQRコードを読み取るための端末を用意する必要があるが、店舗提示型の場合は、QRコードを印刷した紙をレジに置くだけでよいので、コストを掛けずにスマホ決済が導入できる。

 編集部が取材を進めたところ、QRコードを使ったスマホ決済に、安全面で重大な欠点があることが判明した。

 都内のある繁華街の飲食店での出来事だ。この店が店舗提示型のスマホ決済を導入した。飲食店では支払いを現金でやりとりすると、現金を扱うたびに店員は手を洗う必要がある。ここでスマホ決済、しかも客にQRコードを読み取ってもらうだけの店舗提示型であれば、店員の業務効率も格段に向上する。この店もスマホ決済の導入でその恩恵を見込んでいた。

 ところがある時、スマホ決済経由の売り上げが数日間全く計上されない事態が発生した。不審に思った店が確認したところ、レジに置いてあるQRコードの上から別のQRコードが貼ってあった。客は店に代金を支払ったつもりだったが、実際にはQRコードを偽造した何者かの口座に送金されてしまっていたのだ。犯人はスマホ決済経由で店の売り上げを奪っていたことになる。飲食店では、店員は接客で慌ただしく店内を動き回るものの、レジには会計時しか立たないことが多い。その隙(すき)を突かれた格好だ。