磁気切符をやめてQRコードに替えるらしい。
コケそうな気配濃厚である。
QRコードの決済って、どうなっているかというと、
大体がワンタイムパスワードが埋め込んである。
→アルゴリズムに従って、不可逆性の関数でワンタイムパスワードが生成される。
→通常は有効期限は数分間のみである。
→QRコードを見せるとIDとワンタイムパスワードで認証され決済を行う。
いや、これ以外にも各決済で独自のセキュリティ向上策を付加しているはずだが、
JRの場合はどうなんだろう。
Suicaなどは、短距離(10cm程度)通信の為、他所から傍受しにくい。
が、紙にQRコードが印刷されていると簡単に傍受というか認識・複製が可能。
さらにワンタイプパスワードであれば、通常は短時間(数分)しか有効期間が無いので漏洩しても悪用される前に無効になるのに、紙の切符となると乗る前~目的駅到着までの長い時間有効でないと困るので、リスクは跳ね上がる。
単純にQRを読み取るだけなら、
一人が切符買って、もう一人はそれをスマホで撮影して画面に表示させとけば、
それで一緒に改札が通れる可能性がある。
先にコピーした人を通しておけば、
後から入場しようとした人を同じQRコードだからと検出できたとしても、
「正規に発行された切符所持」なので確認した上で通さなければ、それはそれで問題。
2年前に発表されてた記事だと、切符ではなくスマホアプリだった。
https://www.jreast.co.jp/press/2022/20221108_ho03.pdf
ま、「チケットレス化の新しい手段」なので、ここで紙は想定外だよね。
今年サービスインしそうな ゆりかもめ のQRコード乗車券は、紙の切符なんてことはプレスリリースにはない。
https://www.yurikamome.co.jp/company/news/6404696794d77d980f96ea47388867a4.pdf
スマホアプリで入場時と退場時に都度ワンタイムパスワードを生成してQRコードを表示するのであれば、ある程度のセキュリティは担保できるが、
「QRコードでの乗車サービス行けそうです」ってなった後に、
「じゃあ、紙の切符もQRコードでいいよね」
って技術も何も知らん偉い人が言い出して、誰も逆らえずにどうしようもない状態になっていたりしなければいいが…