ざっくり言うと
- PayPayでクレジットカードの不正利用が相次いで発生し、問題となっている
- 不正入手されたカード情報がPayPayに登録されてしまったのが原因だと筆者
- PayPayを使っていない人も被害にあう可能性があるため、注意が必要だという
- 写真:Engadget 日本版
- by ライブドアニュース編集部
PayPayに強制アプデ、「クレカ不正利用」で総当たり防ぐ対策導入(石野純也)
![[画像] PayPayに強制アプデ、「クレカ不正利用」で総当たり防ぐ対策導入(石野純也)](https://image.news.livedoor.com/newsimage/stf/c/b/cbea3_1186_bed4e176_5a197775.jpg)
クレジットカードの不正利用が相次ぎ、100億円還元のお祭ムードから一転、一気に社会問題化の様相を呈しているPayPayですが、本日、アプリにアップデートがかかりました。アプリ側で最新バージョンかどうかのチェックがされているようで、アップデートなしでは利用できないようになっています。これは、いわば強制アップデートで、緊急性の高さが伺えます。
▲アップデートの詳細は伏せられているが、PayPayによると、セキュリティコードの試行回数に制限を設けたという
▲複数回セキュリティコードをわざと間違えたところ、そのカードが登録できなくなった
そもそも、なぜPayPayでクレジットカードが不正利用された可能性があるかというと、登録時の仕様に抜けがあったからにほかなりません。話を整理しておくと、まず「PayPay自体からカード情報が流出したわけではない」(広報部)という点は押さえておいた方がいいでしょう。今回のトラブルはその逆で、不正に入手されたクレジットカード情報がPayPayに登録されてしまったのが原因と考えられます。
ただ、この場合、PayPayのアカウントを持たないユーザーにまで被害が広がってしまうおそれがあり、むしろ対象がより拡大する可能性があります。VISAやMastercardなど、PayPayに登録可能なクレジットカードを持つすべてのユーザーが対象になってしまうからです。「自分はPayPay祭に参加しなかったから大丈夫」というわけではなく、対象となるユーザーはWebなどで明細を改めて確認してみる必要がありそうです。
▲PayPay祭に参加しなかったクレジットカード利用者も被害にあう可能性が
PayPayそのものにあった"穴"とは、すでに明らかになっているように、クレジットカードの登録を、無制限に試行できた仕様のことを指します。登録はクレジットカード番号と有効期限、セキュリティコードの3つがあればできますが、以前のバージョンでは、ランダムにこれらを作って有効なものに当たるまで試せてしまったというわけです。
とはいえ、これだと組み合わせもかなり数に上るため、不正利用をする側の効率はあまりよくありません。おそらくですが、すでに流出しているクレジットカード番号や有効期限を使い、セキュリティコードのみを総当たりで突破したと考えるのが現実的です。
▲セキュリティコードを総当たりされた可能性が
仮にセキュリティコード以外のクレジットカード情報が盗まれたとしても、物理的なカードがないため、基本的には店舗では利用できません。ネットショップで使おうとしても、セキュリティコードを何度も誤入力すると、決済がストップしてしまい、不正も発覚しやすくなります。もちろん、チェックが甘いほかの加盟店でも不正利用は起こりえますが、ここまで大騒動に発展したのは、PayPayだと、1カ所突破できてしまうだけで、幅広い場所で使えてしまうからにほかなりません。決済を扱うサービスとしては、セキュリティが甘すぎたといえるでしょう。
厄介なのが、「PayPay側にくる決済データは、正しく処理されたものとして上ってきてしまう」(広報部)ところです。つまり、加盟店はもちろん、PayPayにもそのクレジットカードが本当にユーザーのものなのかは、確認できていないということ。登録時に氏名などの照合を取った方がいい気もしますが、現状では、その処理が不正だったかどうかは、クレジットカード会社しか判断ができません。不正利用と思われる決済があった場合、クレジットカード会社に問い合わせるよう呼び掛けているのはそのためですが、ユーザーとしては釈然としないところがあります。
そもそも、PayPayは100億円を投じたキャンペーンの発表会で、大量のトランザクション処理や、セキュリティに強みがあると語っていました。PayPayは、インドの決済大手で、ソフトバンクビジョンファンドの投資先でもあるPaytmと技術提携しているのが特徴で、「Paytmのあらゆる技術を取り入れて開発しており、PayPayはどんどん進化している」(代表取締役社長執行役員CEO 中山一郎氏)とうたわれていたほどです。
▲Paytmとの技術提携による「セキュリティ」の高さが、売りの1つだった
ところが、ふたをあけてみると、100億円あげちゃうキャンペーンの負荷に耐えられず、サービスは何度もダウンしてしまう始末。挙句の果てに、クレジットカードの登録にセキュリティ的な制限もなかったとなると、Paytmの技術とは一体なんだったのかという話にもなりかねません。
インドで長年サービスを展開してきたPaytmを加えた座組だからこそ、「成功例だけでなく、失敗例も知っている。それをやらなくていいのは大きなアドバンテージ」(同)だと語っていましたが、この様子だと、本当に失敗例から学んだのかが疑わしくなってきます。
▲キャンペーン中は、システムダウンも相次いだ。スケーラビリティとは一体......
▲LINE Payはクレジットカードを利用する場合、3Dセキュアで認証する必要がある。
▲楽天Payは、セキュリティコードに3回失敗した時点でエラーが出た
とはいえ、今回の事態は、せっかく盛り上がってきたQRコード決済に冷や水をかぶせることにもなりかねません。100億円キャンペーンでこの市場を大いに盛り上げたのは、ほかでもないPayPayですが、自らその火を消すことになりかねないのは残念。市場拡大を急ぐ気持ちは分かりますが、決済はインフラともいえる分野なだけに、もう少し慎重さも持って事業を運営してほしいところです。
▲PayPayアプリに強制アップデートがかかった
▲アップデートの詳細は伏せられているが、PayPayによると、セキュリティコードの試行回数に制限を設けたという
▲複数回セキュリティコードをわざと間違えたところ、そのカードが登録できなくなった
そもそも、なぜPayPayでクレジットカードが不正利用された可能性があるかというと、登録時の仕様に抜けがあったからにほかなりません。話を整理しておくと、まず「PayPay自体からカード情報が流出したわけではない」(広報部)という点は押さえておいた方がいいでしょう。今回のトラブルはその逆で、不正に入手されたクレジットカード情報がPayPayに登録されてしまったのが原因と考えられます。
ただ、この場合、PayPayのアカウントを持たないユーザーにまで被害が広がってしまうおそれがあり、むしろ対象がより拡大する可能性があります。VISAやMastercardなど、PayPayに登録可能なクレジットカードを持つすべてのユーザーが対象になってしまうからです。「自分はPayPay祭に参加しなかったから大丈夫」というわけではなく、対象となるユーザーはWebなどで明細を改めて確認してみる必要がありそうです。
▲PayPay祭に参加しなかったクレジットカード利用者も被害にあう可能性が
PayPayそのものにあった"穴"とは、すでに明らかになっているように、クレジットカードの登録を、無制限に試行できた仕様のことを指します。登録はクレジットカード番号と有効期限、セキュリティコードの3つがあればできますが、以前のバージョンでは、ランダムにこれらを作って有効なものに当たるまで試せてしまったというわけです。
とはいえ、これだと組み合わせもかなり数に上るため、不正利用をする側の効率はあまりよくありません。おそらくですが、すでに流出しているクレジットカード番号や有効期限を使い、セキュリティコードのみを総当たりで突破したと考えるのが現実的です。
▲セキュリティコードを総当たりされた可能性が
仮にセキュリティコード以外のクレジットカード情報が盗まれたとしても、物理的なカードがないため、基本的には店舗では利用できません。ネットショップで使おうとしても、セキュリティコードを何度も誤入力すると、決済がストップしてしまい、不正も発覚しやすくなります。もちろん、チェックが甘いほかの加盟店でも不正利用は起こりえますが、ここまで大騒動に発展したのは、PayPayだと、1カ所突破できてしまうだけで、幅広い場所で使えてしまうからにほかなりません。決済を扱うサービスとしては、セキュリティが甘すぎたといえるでしょう。
厄介なのが、「PayPay側にくる決済データは、正しく処理されたものとして上ってきてしまう」(広報部)ところです。つまり、加盟店はもちろん、PayPayにもそのクレジットカードが本当にユーザーのものなのかは、確認できていないということ。登録時に氏名などの照合を取った方がいい気もしますが、現状では、その処理が不正だったかどうかは、クレジットカード会社しか判断ができません。不正利用と思われる決済があった場合、クレジットカード会社に問い合わせるよう呼び掛けているのはそのためですが、ユーザーとしては釈然としないところがあります。
そもそも、PayPayは100億円を投じたキャンペーンの発表会で、大量のトランザクション処理や、セキュリティに強みがあると語っていました。PayPayは、インドの決済大手で、ソフトバンクビジョンファンドの投資先でもあるPaytmと技術提携しているのが特徴で、「Paytmのあらゆる技術を取り入れて開発しており、PayPayはどんどん進化している」(代表取締役社長執行役員CEO 中山一郎氏)とうたわれていたほどです。
▲Paytmとの技術提携による「セキュリティ」の高さが、売りの1つだった
ところが、ふたをあけてみると、100億円あげちゃうキャンペーンの負荷に耐えられず、サービスは何度もダウンしてしまう始末。挙句の果てに、クレジットカードの登録にセキュリティ的な制限もなかったとなると、Paytmの技術とは一体なんだったのかという話にもなりかねません。
インドで長年サービスを展開してきたPaytmを加えた座組だからこそ、「成功例だけでなく、失敗例も知っている。それをやらなくていいのは大きなアドバンテージ」(同)だと語っていましたが、この様子だと、本当に失敗例から学んだのかが疑わしくなってきます。
▲キャンペーン中は、システムダウンも相次いだ。スケーラビリティとは一体......
他のスマホ決済はどうか
なお、競合となるLINE Payでは、そもそもクレジットカードからのチャージができず、ダイレクトにクレジットカードを利用する場合には3Dセキュアの認証を通す必要があります。ドコモのd払いも同様です。また、楽天Payでもわざとセキュリティコードを間違えてみたところ、3回でロックがかかり、一定時間登録を受け付けないアラートが表示されました。競合の仕様を見ても、PayPayのセキュリティはザルだったことが分かります。▲LINE Payはクレジットカードを利用する場合、3Dセキュアで認証する必要がある。
▲楽天Payは、セキュリティコードに3回失敗した時点でエラーが出た
とはいえ、今回の事態は、せっかく盛り上がってきたQRコード決済に冷や水をかぶせることにもなりかねません。100億円キャンペーンでこの市場を大いに盛り上げたのは、ほかでもないPayPayですが、自らその火を消すことになりかねないのは残念。市場拡大を急ぐ気持ちは分かりますが、決済はインフラともいえる分野なだけに、もう少し慎重さも持って事業を運営してほしいところです。
「PayPay」の関連記事:
スマホ決済「PayPay」サービス開始 ヤフーアプリでも利用可
還元率20%の衝撃──スマホ決済のPayPay、100億円バラマキでキャッシュレス市場に攻勢
LINE Pay、20%還元のPayPayに対抗せず 「我々が戦っているのは現金、一緒に盛り上げよう」
PayPayキャンペーン本日終了? 怪文書出回る。PayPayは「公表したものではない」と否定
PayPay「100億円狂騒曲」ついに終幕、キャンペーンは13日限り
PayPay、100億円祭りは「孫さんを中心に決めた」──ヤフー執行役員が明かす
PayPayアカウントは削除できない
スマホ決済「PayPay」サービス開始 ヤフーアプリでも利用可
還元率20%の衝撃──スマホ決済のPayPay、100億円バラマキでキャッシュレス市場に攻勢
LINE Pay、20%還元のPayPayに対抗せず 「我々が戦っているのは現金、一緒に盛り上げよう」
PayPayキャンペーン本日終了? 怪文書出回る。PayPayは「公表したものではない」と否定
PayPay「100億円狂騒曲」ついに終幕、キャンペーンは13日限り
PayPay、100億円祭りは「孫さんを中心に決めた」──ヤフー執行役員が明かす
PayPayアカウントは削除できない