キャッシュレス決済が普及する中、利用が拡大している電子決済サービス。多様なサービスがしのぎを削るが、バーコードだけで決済ができる手軽さに付け込んだ犯罪が起きている。大阪府警は他人のアカウントを不正に使って加熱式たばこなどを購入したとして、詐欺容疑で中国籍の男2人を逮捕。男らは利用者を偽サイトに誘導してIDやパスワードを盗み取ることで、たやすく決済用のQRコードを入手していた。同様の手口による事件は全国で相次いでおり、企業側は対応に苦慮している。
令和4年6月上旬の深夜。関東地方に住む80代男性のスマートフォンに、KDDIの電子決済サービス「auペイ」が利用されたことを伝える通知が届いた。利用先は大阪府枚方市のコンビニで、決済額は5800円。身に覚えはなく、何より決済に使うはずのスマホは手元にある。不審に思った男性は、コンビニに電話で問い合わせた。
同じころ、コンビニのレジには中国籍の男の姿があった。男は加熱式たばこの銘柄が写った画像を店員に示し、1カートンを購入。auペイで支払いを済ませていた。
男性から連絡を受けた店側の通報で駆け付けた警察官が店内にとどまっていた男に事情を聴き、男性名義のauペイを使っていたことが判明。大阪府警は詐欺容疑で逮捕した。
男は大阪府枚方市の工員、李旭(リシュ)容疑者(33)。中国人詐欺グループのメンバーとみられ、府警は李容疑者らから購入した品を集める「回収役」の男(33)も同容疑で逮捕。自宅や関係先から加熱式たばこ約150カートン(計約87万円相当)を押収した。府警は、このグループが少なくとも27人のauペイを不正に使い、加熱式たばこなどの購入を繰り返していたとみている。
李容疑者はなぜ男性のバーコードを手にしていたのか。府警の捜査で、男性はメールから偽サイトに誘導されIDやパスワードを盗み取られる「フィッシング詐欺」に遭っていたことが判明した。
メールはアカウントの登録内容の確認などを促す内容。「最終通告」「緊急確認」などのタイトルで短時間のうちに次々と送られ、男性はこのうち1通に記載されたURLから、auペイを運営するKDDIの正規サイトを模した偽サイトに誘導され、個人情報を入力していた。
犯人グループは抜き取ったIDやパスワードを使って不正にログインし、決済用のバーコードを入手したとみられる。男性のスマホには、不正ログイン後に本人確認の通知が届いたが、深く考えないままログインを承認していたという。
同様の手口の事件は全国でも相次いでいるが、フィッシング詐欺は、2000年代からみられる手口だ。ある捜査関係者は「犯人側の狙いが、クレジットカード番号やネットバンキングの口座情報から電子決済のIDやパスワードに変わっている」と分析する。
auペイに限っても、その傾向は顕著だ。フィッシング対策協議会(東京)によると、令和4年に入りauやauペイをかたる偽メールなどの報告件数が急増。1~11月末までで5万5949件で、すでに前年1年間の8363件の6倍以上となっている。
ログインするだけでバーコードが表示される手軽さゆえに、「犯人側にとっても、IDとパスワードさえあれば簡単に金品を手にできてしまう」(捜査関係者)という側面もある。
同様の手口の事件は愛知県警や京都府警も摘発。逮捕されたのはいずれも中国籍の容疑者だった。KDDIはauペイの新規ログイン時の認証強化やバーコードの画面保存の規制など対策を重ねるが、実効性は未知数だ。
景気後退、経済不況になると詐欺や犯罪率が上がるのが全世界共通なので日本でも
今回のような詐欺事件、犯罪は増える可能性が高いと予想される。