Alipayクイック決済とオンラインバンキングのどちらが安全ですか?

最近、中国工商銀行、中国農業銀行、中国銀行、中国建設銀行の4大銀行は、速達サービスの制限を相次いで調整しました。4大銀行は、Alipay速達支払いの1回の取引額と1日の累計額を基本的に1万元未満に制限し、最低でも5,000元に制限し、月間累計額は基本的に5万元を超えないようにしました。

「なぜクイック決済の限度額を制限しているのか」という質問に対し、中国工商銀行の取締役は、クイック決済の本来の意図は、オンラインショッピングの顧客が小額を素早く支払いたいという利便性を満たすことにあると答えた。支払い用の銀行口座から資金を振り替えるには、携帯電話を通じて支払い機関の動的検証コードを送信するだけでよい。この方法は確かに便利ですが、クイック決済のセキュリティには明らかなリスクがあります。取引は携帯電話に過度に依存しています。携帯電話を紛失したり、登録中に情報が漏洩したり、携帯電話にトロイの木馬ウイルスが埋め込まれたりすると、クイック決済にバインドされた携帯電話番号が簡単に改ざんされ、ユーザーの資金が簡単に盗まれる可能性があります。

では、クイック支払いは安全なのでしょうか？オンラインバンキングと比較して、どちらがより安全ですか?

クイック決済のセキュリティについて議論する前に、Alipay とオンライン バンキングのセキュリティの比較について議論する必要があります。

Alipayとオンラインバンキングのセキュリティ比較

Alipay のセキュリティは、デジタル証明書、Payment Shield（価格 58 元）、Baoling（価格 33 元、販売中止）、モバイル Baoling のみに依存しています。銀行のオンライン バンキングは、少し特殊です。銀行によってセキュリティ戦略は異なりますが、原理は基本的に同じで、主に USB キーと動的パスワード ロックです。

原理的には、USBKey は支払いシールドに相当し、動的パスワードロックは Baoling に相当し、セキュリティは基本的に同じです。デジタル証明書は、秘密鍵をコンピューターの USB キーに保存するのと同じです。USB キーほど安全ではありませんが、より便利です。

ハッカーは主にトロイの木馬ウイルス プログラムを使用して、USBKey のドライバー レイヤーを制御して攻撃します。このセキュリティ戦略は絶対確実ではありません。セキュリティを向上させる方法は、USBKey 自体を変更することです。私が見た中で最も優れた変更方法は、USBKey に表示画面と確認ボタンを追加する ICBC の USBKey です。取引中に金額が USBKey に表示されます。ユーザーは、USBKey の確認ボタンをクリックした後にのみ取引を完了できます。これにより、コンピューター ベースのトロイの木馬ウイルスが取引を改ざんして攻撃することが難しくなります。

異なる銀行のオンライン バンキングのセキュリティは異なることに注意する必要があります。一部の銀行のオンライン バンキングはセキュリティが高いですが、一部の銀行のオンライン バンキングには非常に低レベルの抜け穴があります。また、オンライン バンキング アカウントが盗まれたというニュースがメディアで頻繁に報道されています。したがって、ユーザーは資金をよりセキュリティの高い銀行に預けるべきです。

Alipayへの攻撃については、ほとんどの攻撃は携帯電話を通じて行われています。支払いシールドにバインドされていないAlipayの場合、セキュリティ検証のほとんどはAlipayにバインドされている携帯電話に依存しています。ハッカーは、モバイルオペレーターの抜け穴を通じてユーザーの携帯電話を制御し、Alipayアカウントを攻撃することができます。たとえば、ハッカーが特定のチャネルを通じてユーザーのID番号と携帯電話番号を入手した場合、偽造されたIDカードを使用して、特定のモバイルオペレーターを通じて携帯電話のSIMカードを正常に申請できます。このSIMカードとID番号を使用して、Alipayパスワードをリセットし、デジタル証明書を申請することもできます。幸いなことに、Alipayの支払いパスワードは「セキュリティの質問+メール」方式でリセットする必要があり、この脅威をある程度軽減します。 Alipay に多額のお金を預けているユーザーの場合は、Payment Shield を有効にする方が安全です。

クイックペイメントは安全ですか?

上記の分析から、Payment Shield を有効にした Alipay のセキュリティはオンライン バンキングのセキュリティより劣っていないことがわかります。では、Alipay のクイック支払いは同様に安全でしょうか?

クイック決済は便利で素早い決済方法です。顧客は、個人のサードパーティ決済口座を貯蓄カードまたはクレジットカードにリンクできます。支払いを行うたびに、サードパーティ決済口座の支払いパスワードと携帯電話の認証コードを入力するだけで支払いが完了し、銀行決済ネットワークをバイパスできます。銀行カードがバインドされている限り、ユーザーは銀行カードのパスワードを入力せずに、Alipayを介して銀行カードから送金できます。クイック決済のセキュリティ問題については、以前記事で取り上げました。一般的に言えば、クイック決済のセキュリティの鍵は携帯電話にあります。携帯電話の絶対的なセキュリティ、特にテキストメッセージのセキュリティを確保することで、クイック決済のセキュリティが保証されます。

クイック決済を攻撃する方法は他にもたくさんあります。ユーザーがパスワードを入力せずに少額決済を有効にしている場合、ハッカーは先に紹介したIDカードのSIMカードを偽造する方法をインストールするだけで、少額決済を直接行うことができます。しかし、多額の資金を盗むには、ユーザーの支払いパスワードも必要です。ここで、ハッカーはさまざまな方法を使用して、ユーザーの支払いパスワードを攻撃することができます。

トロイの木馬やフィッシングサイトをコンピュータで使用する通常の方法に加えて、ハッカーは携帯電話のAPPパスワードを介して攻撃することもできます。ハッカーはまず、アカウントを盗む機能を備えた悪意のあるアプリケーションをさまざまなアプリケーションストアやフォーラムに公開します。ユーザーがAndroidフォンを使用してこのような悪意のあるアプリケーション（偽のゲームアプリケーションなど）をダウンロードしてインストールすると、悪意のあるアプリケーションはバックグラウンドでユーザーのSMS通信を傍受し、ユーザーのSMSを傍受して送金を偽装して取引を完了するか、バックグラウンドでユーザーをフィッシングサイトに誘導して支払いパスワードを傍受します。これにより、銀行のUSBKEYやその他のトークンシステムが完全に回避され、ユーザーの資金が盗まれます。

このような状況に対処するため、アリペイはモバイルバオリングなどの動的トークンもリリースし、モバイル決済のセキュリティを強化しました。ユーザーがモバイルバオリングをアクティブにすると、1分ごとに変わるワンタイムパスワードを持つ「動的トークン」が表示されます。この動的トークンは、元のSMSに基づいて追加されます。このように、悪意のあるアプリケーションがユーザーのSMSとワンタイムパスワードを傍受したとしても、次の支払いに必要な動的パスワードを計算できないため役に立たず、ユーザー資金の盗難は失敗します。

ダイナミック トークン ソリューションは、ハッカーが悪意のあるアプリケーションを通じてユーザーの銀行カード資金を盗むという脅威を解決しますが、ユーザーの電話が盗まれた場合、他の人が電話上の「ダイナミック トークン」を見ることができるため、最終的にはユーザーが自分の電話が盗まれないようにする必要があります。

したがって、ユーザーが携帯電話とテキストメッセージの絶対的なセキュリティを確保できる場合、クイック支払いは安全ですが、そうでない場合は安全ではありません。

支払いのセキュリティを確保するにはどうすればいいですか?

ユーザーの資金が盗まれた場合、銀行または Alipay が補償しますか?銀行の場合、ハッカーがパスワードを通じてユーザーの資金を盗んだ場合、銀行はユーザーに補償しません。 Alipay の場合も、補償条件は基本的に同様です。Alipay アカウントのパスワード、Alipay アカウントのログインおよび支払いパスワード、または認証コードが、ユーザーの理由（積極的に他人に知らせたり、詐欺に遭ったり、フィッシングの被害に遭ったりなど）により漏洩した場合、補償は行われません。したがって、アカウント内の資金の安全を確保するために、ユーザーは適切で安全なインターネット習慣を身につける必要があります。

一般的な安全対策は次のとおりです。

1. ログインパスワードとは異なる安全な支払いパスワードを設定します。

2. Alipay のログイン アカウントとして携帯電話番号を使用しないでください。メール アカウントのセキュリティを確保するため、Alipay のパスワードとメールのパスワードは同じにしないでください。

3. モバイルアプリBaolingを有効にします。

4. ジェイルブレイクされていない iPhone を使用し、iOS 7.1 をインストールし、ロック画面のパスワードまたは指紋ロック解除を有効にし、「iPhone を探す」をオンにして、安全な Apple パスワードを使用します。 (ジェイルブレイクされていない iPhone では、アプリに関連する権限がまったくないため、SMS のセキュリティ問題が完全に解決されます。ロック画面のパスワードや指紋ロック解除を使用しても、携帯電話は盗まれた後に開くことはできず、フラッシュした後でも開くことはできません。)

5. Android スマートフォンをルート化しないでください。サードパーティの Web サイトでアプリをインストールしないでください。Google Play などの公式ストアからのみアプリをインストールしてください。ルート化されていない Android スマートフォンでもアプリへの SMS インターフェイスが開かれるため、支払いに Android スマートフォンを使用しないようにしてください。

6. 携帯電話が盗まれた場合は、オンラインになってすぐにダイナミックトークンを変更し、携帯電話会社に電話して SIM カードの紛失を報告してください。iPhone の場合は、リモートロック機能を有効にしてください。

7. 消費と貯蓄を分けてください。銀行口座番号を他人に教えないでください。クレジットカードは外出先での消費に使用してください。実際の状況に応じてクレジットカードの限度額を設定し、1か月の最大消費額を超えないようにしてください。このように、クレジットカードがどのように盗まれたとしても、損失は常に限定されます。銀行やAlipayに補償を請求することもできます。補償付きのクレジットカードを使用し、現金引き出し機能を有効にせず、盗難後24時間以内にカード紛失を報告してください。

8. アカウントに多額の資金がある場合は、USBKEY などの物理的なハードウェア セキュリティ デバイスを有効にするのが最適です。

つまり、Alipay やオンライン バンキングのセキュリティはユーザー次第です。ユーザーがセキュリティ習慣を身に付けていれば、オンライン バンキングや Alipay を安全に使用できます。クイック ペイメントの場合、ユーザーが携帯電話のセキュリティを保証できず、フィッシング サイトを正しく識別できない場合は、クイック ペイメントを使用しない方がよいでしょう。USBKey は、そのようなユーザーに適しています。

元のタイトル: Alipay Express Payment とオンライン バンキングのどちらが安全ですか?

キーワード: