【PayPay】クレジットカードが不正に使われた?! その原因とは?

はじめに

先日『100億円あげちゃうキャンペーン』で話題になったQRコード決済サービスのPayPayですが、今度は各種媒体においてクレジットカードの不正利用で話題になってしまっています。

字面を見ると「オイシイと思わせて危ないサービスだったのか?!」と思ってしまいそうですが、現時点で報告されている情報から言うと、『PayPayを使ったから危ないのではなく、PayPayの仕組み自体に問題があったせいですでにクレジットカードの一部情報が別の何らかの原因で流出してしまっていた人が被害を受けている』という状況のようです。

本記事ではこちらについて簡単に扱いたいと思います。

不正利用に関して

以下はあくまで各種情報媒体から得られた情報によるものですのでご了承下さい。

PayPayを使ってしまった人が危ないの?

そういうわけではないようです。

PayPayから個人情報(カード情報を含む)などが流出したという事実はないと報告されています。

また公式サイトのお知らせには以下のような内容が投稿されています。

いつもPayPayをご利用いただき、ありがとうございます。
ご自身のクレジットカードに、PayPayからご利用した覚えのない請求があったら、こちらをご参照ください。

なお、PayPayではお客さまの情報を適切な方法で管理しており、安全にサービスをご利用いただけます。
クレジットカードや、クレジットカード番号等の情報管理には十分ご注意ください。

https://www.paypay-corp.co.jp/notice/20181214/01/

では今回の騒動はどういうことなのでしょうか。

 クレジットカード登録時の仕様に問題があった

PayPayの利用開始時にはクレジットカードの登録を行います。

当然カード番号や有効期限、カード裏面に記載されているセキュリティコードの情報を入力するわけです。

ここでたいていの場合は、第三者が適当に入力して番号などをあてずっぽうで狙ったり、あるいはツールなどでそういった番号を1から順番に正解にたどり着くまで自動で試していく(総当たり攻撃 といいます)ような攻撃に対しての防衛策として、入力ミスが続くと一定時間ロックをかけるような仕組みがあるものですが、PayPayのクレジットカード登録時には、セキュリティコードの入力ミス上限が設定されていなかったということのようです。

そのため、カード番号や有効期限がなにか別の経路で流出してしまっていた場合、セキュリティコードはヒットするまで適当に試していけばいつかは当たってしまう、そんな状況が生まれてしまっていたようですね。

セキュリティコードは3桁の数字ですからその組み合わせはわずか1000種類。人力でも不可能ではないですし、できる人はツールなどで自動化してしまえば探し当てるのは容易でしょう。

PayPayの広報担当は以下のような発言をしているらしいですが、これはどう考えてもセキュリティ面を優先すべきだったでしょうね…。

 これまで制限を設けていなかった理由についてPayPayは、「ユーザーが入力を間違えても困らないようにするため」と説明。

http://www.itmedia.co.jp/news/articles/1812/18/news056.html

というわけで、『これまでに何らかの原因でクレジットカードの情報が一部流出してしまっていた人』が今回は高リスクだったと言えます。

どうして気づくのが遅れたか

今回はかなりオトクなキャンペーンだったこともあり、一部家電量販店などでは高額な買い物も当然のように認識されてしまっていたせいもあったのかもしれません。

本来であればPayPayで3万円以上の決済を行う際には本人確認が行われるようルールが設けられていたようですが、店側でこれが徹底されていなかったのでは?ということも言われています。もしそうであるならばお店側にも責任アリですね。

■3万円以上のお支払いをする場合の注意点
PayPayアプリやYahoo! JAPANアプリを利用して3万円以上のお支払いをする場合は、都度、ご利用店舗にご本人様を確認できる確認書類(※)の提示をお願いいたします。

提示されない場合は、PayPayでのお支払いをご利用いただけない場合がございますので、あらかじめご承知おきください。

https://paypay.ne.jp/notice-static/20181203/01/

しかし、この文面だと少し弱いですね。『PayPayでのお支払いをご利用いただけない場合が』あると書かれていますし、絶対的なルールではないと読み取れてしまいます。これでは店側もその手間から本人確認を行ってしまうのも同情の余地があるような気がします。

被害にあってしまった場合は?

それでは被害にあってしまった場合はどうしたらよいのでしょう?

PayPay公式サイトに案内がありますのでぜひこちらを参照ください↓

参考 よくある質問 クレジットカードに利用した覚えのないPayPayからの請求がきたPayPayからのお知らせ

支払い後のキャンセルには利用店舗への連絡が必要なようですね。

また第三者によるクレジットカードの不正利用が考えられる場合はすぐにカード会社に連絡しましょう。

基本的にカード会社の不正利用に対する補償は60日以内のものが対象なようです。そのため遅くに気づいてしまうと補償されないことがあるので、ちょっと気にしておいたほうが良いかもしれませんね。

おわりに

今回は特大キャンペーン後に発覚してしまったPayPayのクレジットカード不正利用に関して取り扱いました。

繰り返しですが、PayPay自体に流出リスクがあったわけではありません(執筆時点の情報では)。PayPayを使用していなくとも、クレジットカードの利用者全員が被害者になりうる事例です。

PayPay自体には今後も期待したいので、今回のことはしっかりと対処してほしいと思います。

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください