JRがQR

磁気切符をやめてQRコードに替えるらしい。

コケそうな気配濃厚である。

JR東日本・東武鉄道など8社、磁気切符をQRコードに移行 コスト削減 - 日本経済新聞JR東日本など鉄道8社は29日、QRコードを使用した普通乗車券を2026年度末以降に導入すると発表した。各社共通の管理システムを取り入れ、1枚の切符で異なる路線を乗り換えられるようにする。これまでの磁気乗車券から順次置き換える。切符が詰まるなどの改札機の故障リスクを減らす狙いもある。現在は訪日外国人を含む乗客の5〜10%が紙の切符を使っている。磁気乗車券は用…リンクwww.nikkei.com

 

QRコードの決済って、どうなっているかというと、

大体がワンタイムパスワードが埋め込んである。

 →アルゴリズムに従って、不可逆性の関数でワンタイムパスワードが生成される。

  →通常は有効期限は数分間のみである。

  →QRコードを見せるとIDとワンタイムパスワードで認証され決済を行う。

ワンタイムパスワードとは?仕組み・使い方・メリット・デメリットをわかりやすく解説 - カゴヤのサーバー研究室ID・パスワードによる一般的な認証のみでは、セキュリティ上のリスクが高いことは長く指摘されていました。ID・パスワードが流出するだけで、それが不正利用され大きな ID・パスワードによる一般的な認証のみでは、セキュリティ上のリスクが高いことは長く指摘されていました。ID・パスワードが流出するだけで、それが不正利用され大きな被害につながるからです。ワンタイムパス…リンクwww.kagoya.jp

 

いや、これ以外にも各決済で独自のセキュリティ向上策を付加しているはずだが、

JRの場合はどうなんだろう。

 

Suicaなどは、短距離(10cm程度)通信の為、他所から傍受しにくい。

が、紙にQRコードが印刷されていると簡単に傍受というか認識・複製が可能。

さらにワンタイプパスワードであれば、通常は短時間(数分)しか有効期間が無いので漏洩しても悪用される前に無効になるのに、紙の切符となると乗る前~目的駅到着までの長い時間有効でないと困るので、リスクは跳ね上がる。

 

単純にQRを読み取るだけなら、

一人が切符買って、もう一人はそれをスマホで撮影して画面に表示させとけば、

それで一緒に改札が通れる可能性がある。

先にコピーした人を通しておけば、

後から入場しようとした人を同じQRコードだからと検出できたとしても、

「正規に発行された切符所持」なので確認した上で通さなければ、それはそれで問題。

 

2年前に発表されてた記事だと、切符ではなくスマホアプリだった。

https://www.jreast.co.jp/press/2022/20221108_ho03.pdf

ま、「チケットレス化の新しい手段」なので、ここで紙は想定外だよね。

 

今年サービスインしそうな ゆりかもめ のQRコード乗車券は、紙の切符なんてことはプレスリリースにはない。

https://www.yurikamome.co.jp/company/news/6404696794d77d980f96ea47388867a4.pdf

 

スマホアプリで入場時と退場時に都度ワンタイムパスワードを生成してQRコードを表示するのであれば、ある程度のセキュリティは担保できるが、

「QRコードでの乗車サービス行けそうです」ってなった後に、

じゃあ、紙の切符もQRコードでいいよね

って技術も何も知らん偉い人が言い出して、誰も逆らえずにどうしようもない状態になっていたりしなければいいが…