4. 対面・店舗型詐欺:QRコードの「すり替え」と「読み取り」の落とし穴

目次

1.「リアルな現場」に潜むアナログな罠

これまでの回では、SNSやフィッシングサイトといった「ネット上の罠」を中心に解説してきました。しかし、コードレス決済詐欺はデジタル空間の中だけで起きるものではありません。実は、私たちが日常的に利用するコンビニ、飲食店、イベント会場といった「対面の現場」にも、巧妙で、かつ極めてアナログな手口が潜んでいます。

スマホ決済には、大きく分けて「ユーザーが店のQRコードを読み取る方式(MPM)」と「店がユーザーのバーコードを読み取る方式(CPM)」の2種類がありますが、その両方に固有の落とし穴が存在します。

2.QRコードすり替え詐欺(QRLjacking)の脅威

店舗に置かれた支払い用のQRコードを、詐欺師が用意した別のQRコードに物理的に書き換えてしまう手口です。

(1) 手口のメカニズム

詐欺師は、レジ横などに掲示されている正規の支払い用QRコードの上に、自分の受取用口座に紐付いた偽のQRコードシールをこっそり貼り付けます。利用者がそれに気づかずスキャンして支払うと、代金は店ではなく詐欺師の懐に入ります。

(2) なぜ気づかないのか?

  • 巧妙な工作: 本物と寸分違わぬデザインのポップを作成し、店員が目を離した隙に短時間ですり替えます。

  • 心理的盲点: 客は「店に置いてあるものだから本物だ」と信じ込んでいます。また、店側も忙しい時間帯には、支払完了画面を遠目に確認するだけで、受取先名義まで細かくチェックしないことが多いため、発覚が遅れます。

3.「盗み撮り」による不正利用:バーコードの賞味期限は短い?

もう一つの手口は、利用者がスマホに表示させた「支払い用バーコード(またはQRコード)」を、第三者が盗み見る、あるいは撮影する手法です。

(1) 背後からの「ショルダーハック」

レジで並んでいる際、支払いの準備としてあらかじめアプリを開き、画面を表示させたまま待機している人を狙います。詐欺師は背後から高性能なカメラでその画面を撮影。その画像データを使って、別のレジや別の店舗ですぐに決済を行ってしまうのです。

(2) 画面の「有効期限」の誤解

「バーコードは数分で更新されるから大丈夫」と思われがちですが、詐欺師はスピード勝負です。撮影した瞬間に、協力者が別の場所で即座に決済を実行すれば、更新前に決済が完了してしまいます。また、一度決済された後に「残高不足」で気づいたときには、犯人はすでに立ち去っています。

4.【実例】賑わうイベント会場での「二重払い」の悲劇

地域のお祭りの屋台で買い物をしようとしたKさんの事例です。

詐欺のプロセス:

  1. スキャンと支払い: 屋台のカウンターに貼られていたQRコードをスキャンし、1,000円を支払いました。画面には「支払い完了」と出ましたが、店主から「あれ?こちらの端末に通知が来ないね」と言われました。

  2. 確認の不備: Kさんは画面を見せましたが、店主は「うちは『〇〇商店』という名義で登録しているはずだけど、あなたの画面の受取先は『個人名(あるいは無関係な英数字)』になっている」と指摘。

  3. 発覚: よく見ると、正規のQRコードの上に、わずかにサイズの大きいシールが重なって貼られていました。

  4. 結果: 結局、Kさんは詐欺師に1,000円を「送金」してしまった形になり、さらに屋台代としてもう一度1,000円を支払う(または購入を諦める)という二重の被害に遭いました。

教訓: 小規模な店舗やイベント会場など、管理の目が届きにくい場所にあるQRコードは、「物理的に細工されていないか」を疑う必要があります。

5.店舗型詐欺を防ぐための「現場の防衛術」

対面決済での被害を防ぐため、以下の4点を習慣化してください。

① スキャン後の「受取先名称」を必ず確認する

QRコードを読み取った後、金額入力画面や確認画面で表示される「支払い先(店舗名)」が、目の前の店と一致しているか必ず確認してください。不自然な個人名や記号、他県の名前などが出た場合は、絶対に確定ボタンを押してはいけません。

② 支払い画面は「直前」まで開かない

レジに並んでいる最中に支払い用バーコードを表示させたままにするのは、財布を広げたまま歩くのと同じです。「自分の番が来て、店員に提示する直前」にアプリを開き、画面を表示させるようにしましょう。

③ スマホの「覗き見防止フィルム」を活用する

物理的な対策として、横から画面が見えなくなる「覗き見防止フィルム」を貼ることは、ショルダーハック対策として非常に有効です。

④ 支払完了時の「音」と「プッシュ通知」を確認する

決済が完了した際、自分のスマホに届く通知を確認する癖をつけましょう。もし会計をしていないタイミングで「支払い完了」の通知が来たら、その瞬間にバーコードが盗まれた可能性があります。

6.店側・運営側ができる対策(事業者の皆様へ)

利用者を守ることは、店舗の信頼を守ることでもあります。

  • QRコードの保護: ラミネート加工したり、アクリルスタンドに入れたりして、上からシールを貼られたらすぐに分かるようにします。

  • 定期的な目視点検: 開店時や交代時に、QRコードに違和感がないか(汚れ、剥がれ、重なり)をチェックします。

  • 音声通知の導入: 決済完了時に店側の端末で音が鳴る設定にし、店員が耳で確認できるようにします。

おわりに

「デジタル決済だから安全」というのは、システム上の話に過ぎません。それを利用する「現場」がアナログである以上、詐欺師は物理的な隙を突いてきます。

「店にあるQRコードを盲信しない」「自分のバーコードを他人に見せない」

この極めてアナログな用心深さこそが、最新のキャッシュレス社会において、あなたの大切な資産を守る最後の砦となります。

次回は、行政や公的機関を騙る卑劣な手口、「還元キャンペーンの罠:マイナポイントや自治体ポイントを狙う偽装」について詳しく解説します。

最近の記事

PAGE TOP
目次