QRコード注文「モバイルオーダー」は有名すぎる大手企業でも不正が出来てしまう現実! QR注文に潜むセキュリティと危険、、、性善説は終わりを告げるのか?

  • HOME
  • ニュース
  • QRコード注文「モバイルオーダー」は有名すぎる大手企業でも不正が出来てしまう現実! QR注文に潜むセキュリティと危険、、、性善説は終わりを告げるのか?

こんにちは!

Digishot®広報担当こじまです!

▼Digishot®に関して資料請求▼
お名前とメールアドレスだけ!
「5秒」で終わる無料資料請求はこちら!

どんどん普及していく「QR注文」のシステムやプログラム、アプリ、、、

今まで、こじまがお伝えしているQR注文の安全性、、、

▼ Digishot®公式WEBサイト ▼

モバイルオーダー開発に安全を追加!通常のQRコードのモバイルオーダーに比べてDigishot®が付加するセキュリティとは

これを解決している企業や、システム会社はあるのでしょうか?

これに気が付いたのは、ある日ことです。

こじまは、土日や休みの日は出かけるほうかもしれません。

だいたい妻が新しいイベントなどを検索して、こじまと子供たちにプレゼンをしますwww

プランを全て遂行できなくても、ここだけ行こうか?

などなど、いたって柔軟に変更し続けるプランが多いのですが苦笑

子供たちとの思い出が、作られ重ねられていくのは、親として楽しく嬉しいもんです。

以前行ったときはこうだったよね?

今回行ってみたら変わってるよね?

そんな些細な発見でもこじま家は盛り上がるほど単純な家族というか性格なんですが、、、

そして、ある日曜日に工場見学ができる施設で、その施設内でサラダバー付のランチメニューがあるレストランに行こう!

ということになりました!

工場見学は当日予約は出来なかったので、ランチだけになってしまいましたが、野菜大好きこじま家(娘は大っ嫌いですが、、、)にとって、サラダバーは「神」です笑

とても有名な企業で、大手企業の工場ですので、これからお話しするQR注文システムに関して、その全容などはお見せすると結構まずいので、ボカシばかりの画像になりますが、ご覧下さいませ!

では、早速ランチのお話を!

ではなくて、QRコード利用のモバイルオーダーのセキュリティや危険性に関してお話をしていきたいと思います!

某有名企業で超大手企業の工場施設にて、ランチを楽しみに向かいました!

レストランには、工場見学が終わったご家族や、団体の方々や、カップルなどが来店していました。

この工場にあるランチレストランは、工場見学しなくてもランチだけを楽しみに来る人も多いかもしれません。

というくらい、メニューはかなり豊富で、サラダも多くの種類が用意されており、ドリンクバーも多くの種類がありました。

ジュースなども、よくあるサーバー機からボタンを押して出てくるものではなく、ちゃんと絞ったジュースが頂けるので、普段甘いジュースを飲まない私でも、おいしく頂きました。

とても利用者が多いこのレストランですが、注文方法はQRコードを利用したモバイルオーダーでした。

QRコードは静的で、各テーブルに設置されており、プリンタなどで動的なQRコードを発行するものではありませんでした。

▼Digishot®に関して資料請求▼

お名前とメールアドレスだけ!
「5秒」で終わる無料資料請求はこちら!

そして!!

こじまは思いました!!

「これだけ大手で有名な会社だから、QRコードを読み込んだらどんなセキュリティや不正利用の手法を盛り込んでいいるのかな?」

結構、ワクワクしながらQRコードを読込みました。

そうしたら、、、

あれ?

もう注文画面?

あれ?

静的QRコードからすぐに注文出来てしまうと、遠隔で不正注文できるのでは?

いやいや!!

そんなことはない!!

だって超有名企業だから!

CMやってるくらいだから!

なんか不正防止の安全施策を講じてるはず!

念のため、静的QRコードを撮影して、画像として保存しました。

自宅に戻ってから、スマホでQRコードを読み込むことにして、ランチを楽しみました!

サラダはボリューム満点で、3回お代わりしてしまい、メインの料理が届くころには満腹でした苦笑

メインもとてもボリュームがあり、満腹のお腹に追い打ちをかけてはち切れんばかりの満腹感www

サラダもメインもとても美味しくて、このランチだけでもまた食べに来たい!

そう感じれるランチメニューでした!

ここで、工場見学の時や、ランチを食べて「Digishot®デジタルスタンプカード」があれば、いいなーーー。

ものすごい大手企業ですので、Digishot®スタンプの普及率も上がる想像をしていましたwww

子供たちも、妻もランチはとても満足したようで、次は工場見学と一緒にランチを楽しみたいと思います!

さあ、自宅に戻り、撮影したレストラン内のQRコードを読込みます。

絶対に何か安全対策をしているはず!

例えば、GPS設定していないとダメとか?

GPS確認後、施設の10メートル範囲内にいないとダメとか?

もしくは他の安全対策とか?

QRコードを読込み・・・。

いざ!

どんな安全対策がされているのか!!!???

あれ?

これは、、、

通常通りの注文画面が開く、、、

もしかして、あの大手のリゾート会社の静的QRコードと同じ仕組みでは、、、

試しに、日程と時間をずらして、もう一度読み込みました。

やはり、、、

注文出来てしまう、、、

自宅とそのレストランからは20キロから25キロほど離れた場所です。

タイミングが合えば、今テーブルに座っていて、注文しているお客様の履歴内容を確認することも出来ます。

そうか、、、

大企業でも有名企業でも、QR注文のモバイルオーダーでは、不正ができてしまうのか、、、

実際にリモートで大量注文をしたら、フードロスにもなりますし、誰が責任を取るのか?

IPアドレスや、個人のスマホを追跡して、なにか不正利用した個人を特定できる方法がないと、遠隔注文が出来てしまいます。

今回の某有名企業さんも静的QRにて不正が可能なQR注文システムでしたが、実はこじまは他にも有名な某飲食チェーン店を全国へ展開する企業も同じ仕組みでした。

こじまは、その飲食店に2020年か2021年に行ったときに、興味本位でQRコードを撮影して、友人のスマホで読み込んでもらいました。

QRコードを読み込んだ場所はその店から数キロ離れた場所です。

読込が完了すると、、、

○○店舗△番テーブルの注文が増えていくのです、、、

一瞬、こわ、、、

と思いました。

もちろん、遠隔で不正注文はしませんが、相当大手のQR注文システムはこんなにも性善説で成り立っているのか、、、

という経験をしていたので、今回の工場にあるレストランも同様、今後はどうしていくのか?

どこかで必ず対策をしなくてはならない時が来ます。

それは、この工場のレストランでなく、他の飲食店などで事件が起きてからはじめて、安全対策を迫られると思います。

現状はSNSがこれだけ普及し、「バズったもん勝ち」ではないですが、目立ちたい若者や大人も増えています。

有名なすしチェーン店の「スシロー」では、Youtubeや動画サイトに口を付けた皿を戻したり、しょうゆを舐めたり、激しく企業の価値と株価を下げた無責任極まりない事件もありました。

確か、「スシローペロペロ事件」と言われていましたでしょうか、、、

とにかく、とんでもないことを若者でも大人でもやってしまう時代です。

このスシローペロペロ事件では、利用者が動画サイトに上げたので、簡単に発覚することはできますが、このQRコードのモバイルオーダーなどの不正利用に関してはどうでしょうか?

怪しまれないように注文を遠隔で入れてしまえば、店舗側も間違えた程度で済むかもしれません。

しかし、しっかり〇番テーブルのデータに記録されてるわけですから、お客様もシステムバグが原因とするのか、店もデータを元に調理しているわけで、お客様の言い逃れもどこまで通じるのか?

一番悪いのは遠隔注文している人なのに、店舗もお客様もお互い不審に感じてしまいます。

さらに、静的QRコードの問題点は遠隔操作だけはありません。

QRコードを貼り換えることも可能です。

有名なQR支払いのシステムでは「PayPay」だったり、「楽天Pay」だったり、店舗情報が保存されたQRコードをレジ前に無造作に置いている店舗も多く、人が見ていないタイミングを見計らってQRコードを貼り換えることも可能です。

貼り換えたQRコードのURL遷移先は、不正にクレジットカードの情報を盗み取るようなサイトへ誘導したり、店とのトラブルを招くような文言のあるサイトに誘導することも出来ます。

実際に海外では静的QRコードを貼り換えて、金銭トラブルになったケースは多いのです、、、。

また、国内の別の大手レストランチェーンで動的QRコードを出力してプリンタにて発行したものをテーブルに置くパターンがあります。

このQRコードの注文票を無造作にテーブルに置いている利用客はとても多いです。

近年のスマホは、遠目からでも画素が良いので、QRコードが映り込んでいたら読み込めることがあります。

テーブルの近くを通り過ぎた人、また隣のテーブルの人が無造作に置かれた動的QRコード撮影したら、注文は可能です。

こじまのプライベートの話ですが、実際に言われた経験があります。

それは、友人の娘が高校生でダンス部に入っており、最後の大会を迎えるとのことで、ダンスの先生や先輩OBの方々の応援メッセージを動画にして見せて、大会前にダンス部生徒に見てもらいたいとう内容でした。

Youtubeの限定公開で事足りるのではないか?

と言うと、そのURLは誰がどこに掲載するのか、100%保証できないと言われました。

悪気はなくても、勝手に拡散される恐れがあります。

まあ、確かにそうか、と納得。

では、QRコードを読み込んだら、動画がアップロードされたサイトへ飛んで、QRコード知っている人だけが動画見れるサイトでは?

と提案したところ。

今のスマホは画素がいいから、誰かが撮影した画像データに、映り込んだQRコードでアクセスされるのが怖い。

なるほど、、、確かに、、、

こじまも撮影画像の映り込みまで、心配していませんでした。

でも、確かに可能ですよね?

だって、自撮り画像で瞳に映り込んだ周囲の景色で、どこに住んでいるのか、活動範囲はどのあたりかを予想してストーカー行為に及んだという事件もありました、、、

高校生の子供を守りたい、けど特別なメッセージを安全に届けたい、友人はそう願っていました。

そこでQRコードを読み取ったら、パスワードを入力するようしました。

そうすれば誰かの撮影画像にQRコードが映り込んだとしても、パスワードがないと閲覧できません。

なので、

「QRコード」 + 「何かキッカケ」 = より安全

ということになります。

静的QRコードを遠隔で読み込んでも、「何かキッカケ」がないと注文画面に遷移しないので安全です。

その「何かキッカケ」となるのが?

そう!

Digishot® なのです!

Digishot®は元々はエンタメ要素を盛り込んだ、スマホに押せる「エンタメスタンプ」や「デジタルスタンプ」というイメージで開発がスタートしました。

そして、実際に「アナログなスタンプラリー」をDigishot®技術によるエンタメを盛り込んだ「デジタルスタンプラリー」へと変えたり、「紙のポイントカード」をDigishot®スタンプを使用した「デジタルポイントカード」へとデジタル技術を盛り込み、アナログなものを、デジタルとアナログを融合させ昇華させるモノとして開発いたしました。

エンタメ要素が多かったDigishot®スタンプですが、近年のデジタル犯罪、サイバー犯罪の増加や、今回のQR注文システムの不正利用や危険因子を排除する役割としても使えます。

しかも、誰もが「圧倒的かつ簡単に理解できる方法」で実現するのです。

それは、

「スマホにスタンプを押す」

という動作一つであらゆる場面で安全性を高めます。

例をいくつかご紹介します。

利用客がQRコードを読込ます。

これは静的なQRコードで問題ありません。

とうことは、いちいちプリントアウトして、テーブルに持っていく必要もありません。

利用客は一度QRコードを読み込み、スマホ画面には「店員がスタンプを押すことで、注文開始となります」みたいなページとDigishot®スタンプが押せるデジタルスタンプ台紙が表示されています。

そして、店員がDigishot®スタンプをスマホに押すことで、はじめて注文が開始できます。

店員が該当する利用客のテーブルへ行き、実際にスタンプを押さないとならないので、QRコードを読み込み遠隔で不正注文をすることは出来ません。

また、各テーブルのQRコードを書き換えたり、異なるものに貼り換えられても問題ありません。

テーブルにQRコードの台紙に、店員がスタンプを押すまでお待ちください。

と一言書いていたり、「この画面が出なければ店員を呼んでください」で、QRコード張替えのリスクは抑えられると思います。

しかし、利用客が注意書きも読まずに不正サイトへ移動して操作してしまっては意味がありませんが、、、

少なくとも店側は注意喚起の文言などをQRコードの台紙やアクリルスタンドに書くことで、ある程度の責任は負う必要がないかもしれません。

動的にQRコードをプリントアウトしなくても、新しいプリンターの端末や電源確保、充電コードの整理などしなくても、Digishot®スタンプを店員も持たせることで完結します。

Digishot®スタンプは電源不要ですので、長時間放置しても動作します。

また、水に濡れても壊れることはありません。

何かが原因で故障しても、とても安価で交換可能です。

どれだけシンプルで丈夫なDigishot®スタンプを用いたQR注文の導入に関しても問題が出てきます。

それは、新しい注文システム再導入にかかるコストです。

今までのQRコード注文システムを安全性を高めるため、Digishot® QR注文システムに変更したい!

そうなったとします。

今まで蓄積されていたデータは?

また、新たに開発コストがかかるの?

また高額な支払いが発生するの?

そうなんです。

システムの移行はとってもお金がかかる場合があります。

しかし、方法は二つあります。

それはコトが準備する「QR注文モバイルオーダー with Digishot®」プラットフォームサービスを利用する!!

って、今はこの内容のサービスは無いのですが、、、

▼Digishot®に関して資料請求▼

お名前とメールアドレスだけ!
「5秒」で終わる無料資料請求はこちら!

今後はセキュリティのニーズがどんどん高まっていくので、このプラットフォームシステムの分野は開発していきたいですね!

また、技術的な問題はいくつかあるかもしれませんが、今まで利用していたシステムを残して、Digishot®だけをプラグインすることも可能な場合があります。

それは、静的QRコードを読込み、スマホにDigishot®スタンプを押すというところまではDigishot®技術で認識します。

認識が確認できれば、今まで使用していた注文システムへ遷移して、そこから今まで通り注文する。

これが出来れば、最初の注文開始の「キッカケ」のインターフェイスをDigishot®技術を導入して、そこから先は今まで通りの注文システムで処理する。

このような事も可能です。

現在のQR注文システムを提供している会社さんとの、接続設定のやりとりは必要になりますが、技術的には可能です。

または、QR注文システム、モバイルオーダーシステムを開発している会社さんと連携すれば、インターフェイス開発完了後に、今までそのシステムを利用している多くの店舗でDigishot®スタンプを利用した、QR注文モバイルオーダーが出来るようになるかもしれません!!

※要確認ですが!!苦笑

こじま個人的には、今後先ほど説明した静的QRコード並びに動的QRコードの遠隔注文による不正利用や、QRコード貼り換えの被害は、高い確率で起きると思っています。

それだけ日本国内の人口もいろんな意味で多様化してきています。

いつどこで、脆弱性に気が付いて、いたずらを楽しむかのように不正行為をしてくる人が現れるかもしれません。

エンタメ開発に長く精通してきた、私たち株式会社コトのブログで、このような不正利用防止の話を長々とお話しするのも、どうなのか?

と思いますが、被害が拡大化する前に、是非安全対策をご検討する企業が増えたら本望です!

そして、その安全対策のために株式会社コトのDigishot®技術や、他の技術をご活用いただけたら、広報担当冥利に尽きます!

▼Digishot®に関して資料請求▼

お名前とメールアドレスだけ!
「5秒」で終わる無料資料請求はこちら!

今後とも私たち株式会社コトを、よろしくお願いいたします!

▼ Digishot®公式WEBサイト ▼

QR注文に潜むセキュリティリスクをDigishot®が改善!安全なモバイルオーダー開発ならDigishot®

広報担当こじまでした!