企業向けPIXセキュリティ:加盟店アカウントを詐欺から守る方法
偽支払いスクリーンショット、QRコードすり替え、ソーシャルエンジニアリング攻撃など、ブラジルの加盟店を狙うPIX詐欺からビジネスを守る方法。
企業向けPIXセキュリティ:加盟店アカウントを詐欺から守る方法
PIXはブラジルの企業の決済処理を一変させました。即時決済、ほとんどの取引で手数料ゼロ、24時間365日利用可能という特徴から、PIXは主要な決済手段となり、2025年には400億件以上の取引を処理しました。しかし、PIXの普及に伴い、加盟店を標的とした詐欺の手口も急増しています。
PIXに依存するビジネスにとって、これらの脅威の理解は必須です。加盟店向けPIXセキュリティの完全ガイドをお届けします。
企業を狙うPIXの脅威
1. 偽支払いスクリーンショット
最もシンプルで最も一般的な詐欺です。顧客がスマホ画面にPIX受領書を偽造して見せ、支払い済みだと主張します。フードトラック、露店、小売店など多忙な加盟店では、スクリーンショットをちらっと見て先に進みたくなる——詐欺師はまさにそこを狙っています。
問題の規模: FEBRABANの報告によると、2025年に偽PIX受領書詐欺は50万以上の事業者に影響を与えました。
2. QRコードすり替え攻撃
詐欺師が販売時点のPIX QRコードを物理的に自分のものにすり替えます。QRコードをスキャンしたすべての顧客が、あなたのビジネスではなく詐欺師にお金を送ることになります。特に多いのは:
- フードコートや屋台
- 市場の出店
- セルフサービス決済ステーション
- 放置された印刷QRコード
3. 従業員に対するソーシャルエンジニアリング
詐欺師が銀行や決済代行業者を装ってビジネスに電話します。「PIXシステムの更新」や「セキュリティ確認」があるとして、従業員にアカウント認証情報の共有、テスト送金、リモートアクセスソフトのインストールを要求します。
4. 予約PIXの悪用
顧客が支払い証明として「予約PIX」の受領書を見せます。即時PIX送金とは異なり、予約送金は処理前に送信者がキャンセルできます。商品を引き渡した後、顧客が予約支払いをキャンセルするのです。
5. 返金の悪用
顧客が少額の正当なPIX支払いを行い、その後多く支払った、または二重に支払ったと主張します。別のPIXキーへの返金を要求し、返金は実行されますが、元の紛争であなたが損失を被ります。
6. PIXキー経由のアカウント乗っ取り
ビジネスのPIXキーが電話番号やメールアドレスで、攻撃者がSIMスワップでその電話番号やメールアカウントを制御した場合、入金を自分にリダイレクトできます。
PIXビジネス脅威マトリックス
| 脅威 | 対象 | 複雑さ | 影響度 |
|---|---|---|---|
| 偽スクリーンショット | 販売時点 | 低い | 取引ごとに中程度 |
| QRコードすり替え | 物理店舗 | 低い | 高い(全顧客に影響) |
| ソーシャルエンジニアリング | 従業員 | 中程度 | 非常に高い |
| 予約PIXトリック | 販売時点 | 低い | 中程度 |
| 返金悪用 | 経理チーム | 中程度 | 中程度 |
| PIXキー乗っ取り | ビジネスアカウント | 高い | 致命的 |
| マルウェア/RAT | 会計システム | 高い | 致命的 |
加盟店の保護対策
リアルタイム決済確認
顧客が見せるものを信用しないでください。以下の確認手順を実施しましょう:
- 銀行口座を直接確認 — 銀行アプリまたはPOSシステムで入金を確認
- PIX入金ごとにリアルタイムプッシュ通知を設定
- 音声通知を使用 — 一部の銀行アプリは入金をアナウンスでき、騒がしい小売環境で有用
- 金額、送信者、タイムスタンプが予想取引と一致することを確認
QRコードのセキュリティ
PIX QRコードの改ざんを防止:
- 静的QRコードをラミネート加工してステッカーで上書きされにくくする
- 毎日QRコードを確認 — 貼り重ねられたステッカーや差し替えの兆候を確認
- 取引ごとに変わる動的QRコードを使用(ほとんどのPOSシステムで利用可能)
- スタッフが監視できる場所にQRコードを設置 — 死角に置かない
- 定期的に自分のQRコードをテストスキャンして自分のアカウントに接続されているか確認
従業員教育
スタッフは最初の防御線です:
- すべてのPIX支払いを銀行アプリで確認するよう教育 — 顧客のスクリーンショットからではなく
- 電話で銀行認証情報を共有しないポリシーを確立
- 銀行を名乗る人物の確認プロトコルを作成 — 電話を切り、銀行に直接電話する
- シナリオ演習でスタッフがソーシャルエンジニアリングの試みを認識できるようにする
アカウントセキュリティ
PIX支払いを受け取るアカウントの保護:
- 個人の電話番号やメールではなくCNPJ連携のPIXキーを使用
- すべての銀行・金融アプリで二要素認証を有効化
- アカウントアクセスを制限 — 認定担当者のみが認証情報を持つ
- 個別PIX操作の取引限度額を設定
- 毎日アカウント活動を確認して不正取引がないか確認
ビジネスの金融情報を安全に共有する
ビジネスでは定期的にPIXキー、銀行口座情報、支払い指示をパートナー、サプライヤー、従業員と共有する必要があります。メールやLINEグループで送信すると、侵害される可能性のある永続的な記録が残ります。
LOCK.PUBを使用して、パスワード保護付きの有効期限リンクでビジネスの銀行情報を共有しましょう。PIXキーや口座番号が多数のLINEチャット履歴に放置され、いずれかのデバイスにアクセスした人に収集される事態を防げます。
ビジネス向けPIXの安全な設定
適切なPIXキーの選択
| PIXキータイプ | セキュリティレベル | 推奨事項 |
|---|---|---|
| ランダムキー(EVP) | 最高 | ビジネスに最適 — 個人情報が露出しない |
| CNPJ | 高い | 正式なビジネス識別に適切 |
| メール | 中程度 | メールアカウント侵害のリスク |
| 電話番号 | やや低い | SIMスワップ攻撃のリスク |
| CPF | ビジネスには最低 | ビジネス取引に個人CPFの使用は避ける |
取引限度額の設定
中央銀行ではPIXの限度額をカスタマイズ可能:
- 夜間(20時〜6時)の限度額を低く設定
- ビジネス規模に適した取引ごとの上限を設定
- 一定額以上の送金に追加認証を要求
- 定期的な大口送金先を信頼済み受取人として登録
監視と監査
- すべてのPIX取引を毎日確認
- PIX受領書と売上記録を照合
- 異常なパターン(複数の少額取引、営業時間外の活動)を監視
- 通常の範囲を超える取引のアラートを設定
ビジネスが標的にされた場合
- すぐに銀行に連絡して対象アカウントを凍結
- 80日以内に銀行を通じてMED(Mecanismo Especial de Devolucao)を申請
- すべての取引証拠とともにB.O.(警察報告書)をオンラインで提出
- 使用された具体的な詐欺手法について従業員に通知
- 確認手順を見直して強化
- 物理店舗のすべてのQRコードを改ざんされていないか確認
まとめ
PIXはブラジルのビジネスの決済をより迅速かつ便利にしましたが、その便利さには相応のセキュリティ投資が必要です。最も重要な習慣はシンプルです:商品やサービスを提供する前に、必ず銀行口座で支払いを確認すること。スクリーンショットを信用せず、繁忙時に確認を省略せず、QRコードの物理的な改ざんを防止しましょう。
パートナーや従業員にビジネスの銀行情報を共有する際は、LOCK.PUBで無料のパスワード保護・有効期限付きリンクを作成し、金融情報を安全に保ちましょう。