クレカのセキュリティが脆弱すぎるのでどうすればいいかという思考

Pocket
LINEで送る
GREE にシェア
LinkedIn にシェア

数年前までカードスキミングなどが怖くて、クレカを使わないというポリシーでしたが、AppleWatchでのsuikaとapple-payが便利すぎてすっかりクレカ族になってしまった、下駄です。
 

世の中ITで便利になっていく事をお金のデジタル化を体験してのめり込んでしまったんですが、ニュースなどでカード犯罪を目にすると、自分のカードは大丈夫かと必ず頭に過ります。
 

そんな中前から気になっていた、クレカの弱すぎるセキュリティについて少しだけエンジニア視点で考えてみたいと思います。

クレカのセキュリティについて

以前、銀行のカードが4桁数字のセキュリティだけというのでスマホを使ってももの数秒で暗証番号解析ができてしまうという記事を書きましたが、クレカもカードを写メられてしまうだけで簡単に不正利用されてしまいます。
 

クレカのカード事態には、カード番号、有効期限、セキュリティコード、自筆の署名が書かれていて、本来ならパスワードが認証サーバーで合わさって、決済完了になるはずなのに、何故かパスワードを入力しなくても購入できてしまうショップや、インターネットサイトが意外と多く存在します。
 

以前より問題になっていたスキミングは、カード事態からパスワードを取得されてしまうというので、表面に書かれていないだけで、カードのICチップにパスワード情報を書き込んでいたんだと推測できますが、さすがに昨今のIT社会でサーバー側に置いてちゃんと認証コード称号する仕様になっていないと、あまりにも脆弱すぎる状態であると判断せざるをえません。
 

さらにもう一つどうしても気になってしまうのが、お店でカード決済をする際に、カードを店員に手渡ししなければいけない店舗をなんとかしてもらいたいですね。
 

認証のためのスキミングを店員が行う仕様にしているため、当たり前のようにカードを手渡していますが、カード被害にあっているほとんどが、その際にカードをスキミングされたり、写メられたりして、簡単に悪用されてしまうので、出来ることならカード事態を他人に渡さずにしようできるようにならなければ、被害は無くならないのだと確信しています。

なんちゃらペイのヤなところ

金融商品って、非常に敷居の高いビジネスの格付けだったはずなのに、ここ最近ではいろいろな「○ペイ」という電子決済サービスが横行していて、コンビニ各種がそれぞれのペイを提供しはじめたり(1社撃沈しましたが・・・)、あまりにも多くのペイにうんざりしている人も多いのではないでしょうか?
 

また、こうしたペイの裏側で全てのサービスにおいて「ポイント」という見えない価値が存在するのが、特に嫌で、ポイントは金銭価値があるにも関わらず、それぞれのサービス毎での相互変換(移動)ができなかったり、サービス毎にポイント還元率が違うというトラップが存在したりと、消費者が使いづらくさせる仕様になってしまっている現状があります。
 

確かに電子決済でのポイントであれば、店舗ごとのポイントカードが財布の中でパンパンにならないのと、色々な店舗のポイントを集約できるので、便利と考えがちですが、実際にクレカなどのポイントも使いづらくて仕方のないものが多いのが事実のため、いっそのことポイント分を現金値引きしてくれたほうがよほど利用者の為になると考えてしまうのは僕だけでしょうか?
 

これは家電量販店のポイントで強く思うため、できるだけポイントが存在しない「ケ○ズ電機」さんで購入するようにしています。

こうなりゃいいのに論

もともとAppleWatchで利便性を感じていた点として、カードを持っていなくても決済が出来るという点と、非接触決済ができてしまう簡単さ、そのセキュリティは、手持ちのスマートフォンやAppleWatchが兼ねてくれているという事を考えると、これによる不正は発生しずらい、用意に想像できるので、クレカもこの方式になればいいのだが、店舗側での認証端末を変更する必要があるのが、後手に回っている原因なのかもしれませんね。
 

確かにiPhoneのwalletにカードをまとめて登録することもできますが、店舗側がカードスキミングしか対応していないような古臭い店もあるため、どうしてもカードを持ち歩かなくてはいけないのが事実ですね。
 

さらに、マネーフォワードなどのサービスを使って、カード履歴をスマホで簡単に確認できるようにしているだけで、不正利用があった時の検知が自分で簡単にできるようになるかと思いますが、クレカ決済と、支払いのキャッシュフローは数ヶ月ズレているため、利用金額だけで判断出来ないケースもあるので、決済時のGPS情報やら、顔認証などにして、自分以外の認証であれば、その認証画像データが不正利用の証拠としてエビデンスになればいいのにな・・・
 

今更ながらこうした金融ツールで便利になって景気も向上するようになればいいのに、どうしても犯罪ケースによってマイナスイメージになってしまう傾向もあるため、ITセキュリティについて、しっかりと担保してもらいたいというのが、ユーザー全ての意見ではないでしょうか?

Leave a Reply

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です