Android Payとか正気の沙汰じゃない

なんでも今月(2015/09)から「Android Pay」というものがアメリカで始まったらしい。
「Android Pay」を知らない人のために説明すると、Android端末を商店に設置された読取り機にかざすだけで代金の支払いが出来るというもの。ちなみに日本ではかなり昔より“おさいふケータイ”という同様のサービスがあったし、ちょうど1年前にはAppleの“Apple Pay”というサービスが始まっている。


この「Android Pay」の仕組みは「NFC」という近距離無線通信を使い、クレジットカードの情報を番号に置き換えた“トークン”というデータを通信する事で、支払いを行う。通信は暗号化されていて、なおかつトークンそのものはクレジットカードの情報ではないため、店舗にクレジットカードの情報が残らないというメリットがある。

なお「Android Pay」を利用するためにはAndroid 4.4以上と「NFC」機能を搭載した端末が必要になる。Android 4.4以上を搭載した端末は2015年9月現在、稼働中の全Android端末の約60%らしい。この中でさらにNFCを搭載した端末が、このサービスを利用出来るという事になる。


しかし私が不安に思うのはAndroidというOSとそれを搭載する端末が、常にセキュリティ上のリスクを抱えているという事実だ。
このような信頼の置けない機械に、クレジットカードの機能を与えても良いのだろうか。

もちろん、Androidを開発するGoogleはセキュリティに関して非常に気を使っていると主張してはいる。だが現実はGoogleの努力をまったく超えて、常に問題だらけである。

Androidで動作するアプリケーションソフトウエアは基本的に「Play store」というサイトのみで配布され、ここでマルウエアの有無などを検査してセキュリティ上の問題が無い事が“ある程度”保証されている。しかし現実はセキュリティ的に問題があるソフトウエアが配布されている事が少なくない。それこそやろうと思えばなんでも出来る状態だ。
実際にマルウエアが仕込まれたゲームなどが配布されていた例もあり、こうした状況は現在でもまったく変わってはいないし、さらに問題なのがプリインストールされたソフトウエア自体がマルウエアでしかもそれを削除できない、などという事例も存在する。


実際の所、スマートフォンを利用する一般人の多くが、スマートフォンを利用するうえで気を付けなければならない事柄に関してまったくの無知である。しかも自分の端末でどのようなプログラムが動作していて、それらの何が端末内のどのような情報にアクセスしているのか、まったく把握してもいない。
当然こうした事を自分で調べて把握しようという事なども思い付かないか、うすぼんやりと思いながらもどうして良いのかわからないので放置である。

このような人達が「Android Pay」を利用したらどうなるのだろうか。


ちなみに先行するApple Payではこんな状況である。

Apple Payを使った詐欺が横行、予想だにしなかった驚きの手口とは？
http://gigazine.net/news/20150304-apple-pay-scam/


この記事を要約すると、Apple Payを利用する場合クレジットカード情報を端末に登録しなければならないが、その際個人情報を使って本人確認をする。が、これは同時に誰の端末であっても他人のカード情報を登録できる可能性があるという事。従って、

・カード情報
・カードを登録する時に使う個人情報

この二つを入手すればApple Payを他人のカードで利用出来るようになり、実際に悪用されている。


現在、スマートフォンからは個人情報がだだ漏れ状態である。
少なくともAndroid端末の場合、アプリケーションソフトウエアが電話帳などにアクセスしていて、不用意な利用者から容易に個人情報を得る事が可能だ。
悪用する意志を持った人がこれらを利用するだけで、「Android Pay」を他人のカードで利用する事など造作も無いと思われる。