12月11日頃から、PayPayでクレジットカードを不正使用されたとの声がネット上で聞かれるようになった。被害は、PayPay利用のいかんにかかわらず発生しており、勝手に数十万円の買い物をされた被害者も出ている。
PayPayとは、ヤフーとソフトバンクの合弁会社が10月に始めたばかりの、スマートフォンのアプリを使った決済サービスのこと。アプリにあらかじめチャージしておいた残高や登録したクレジットカードなどを使い、実店舗でもキャッシュレス決済が行える。
実店舗が舞台のネット犯罪
12月4日から総額100億円を還元する「100億円あげちゃうキャンペーン」を実施したが、クレジットカードの不正使用はその最中に起きた。同社からの情報流出はなく、被害がPayPay利用のいかんにかかわらず発生していることから、第三者が何らかの方法で入手したカード情報を勝手にアプリに登録し、家電量販店などで使用したものとみられる。最近起きたポイントカードアプリの不正使用や、コンビニ受け取りを悪用した通販の不正購入とも通ずる、実店舗が舞台のネット犯罪だ。
原因は不明だがアプリの仕様に不備も
不正使用されたカード情報の出所は、今のところ判明していない。PayPayで利用できるクレジットカードは、各カード発行会社のVISAとMastercard、およびYahoo! JAPANカードなので、これらをお持ちの方は、カード会社の利用明細に注意したい。もし身に覚えのないPayPayからの請求が見つかったら、速やかにカード会社に連絡していただきたい。
アプリ登録者やクレカ名義人の情報なし
不正使用を引き起こした要因として、PayPay側のセキュリティの甘さがいくつか指摘されている。アプリに携帯電話番号とクレジットカード情報(クレジットカード番号、有効期限、セキュリティコード)を登録すれば決済できるようになる。アプリの登録者やクレジットカードの名義人の情報がないので、店頭で本人なのか成りすましなのかは分からず、高額商品を購入して持ち帰られてしまうと足が付きにくい。
オンライン時の本人認証サービスなし
同種の決済サービスである「d払い」や「LINE Pay」では、クレジットカードの登録時に、カード会社が提供するオンライン時の本人認証サービスを利用しているが、PayPayは利用していない。本人認証サービスは、Visaが「VISA認証サービス」、Mastercardが「Mastercard SecureCode」、JCBが「J/Secure」、American Expressが「American Express SafeKey」と呼んでいるもので、カード利用時に各カード会社のサイトに移動し、事前に登録したパスワードや使い捨てのワンタイムパスワードで認証を行い、カードの持ち主本人であることを確認する。
制限なしだったセキュリティコード入力
アプリ側に「楽天ペイ」のようなセキュリティコードの入力制限がなかったので、カード会社側が不正を検出しない限り、際限なく試行できた。セキュリティコードは、カードの裏面などに記載された3~4桁の数字のこと。カードの磁気情報に含まれていないため、磁気情報を読み取るスキミングによる不正使用防止に効果がある。これが際限なく入力できると、次々に試行することで探り当てることができてしまう。これについては、アプリが更新され、現在は入力制限が付いた。
四半期で45億円にものぼる番号盗用型クレカ被害
クレジットカードの不正使用は、今回に限った問題ではない。日本クレジット協会がまとめた番号盗用型の不正使用被害額は、2017年第一四半期に前期の20億7千万円から40億3千万円に跳ね上がり、その後も45億円前後の高止まりが続いている。カード情報の流出はたびたび起き、カード情報を狙うフィッシングも横行している。
プラスチックのカードを所持している前提がネットの普及で崩れ、スマホアプリの台頭で今度は店頭からも姿を消そうとしている今、カード会社と決済サービスは一丸となり、より安全性の高いサービスの提供に努めていただきたい。私たちユーザーにできることは、利用明細の確認を怠らないことと、騙されないようにすることだ。
(2018/12/21 ネットセキュリティニュース)
【関連URL:PayPay】
・身に覚えのないクレジットカードの請求がきたら(12月14日)
https://www.paypay-corp.co.jp/notice/20181214/01/
PayPayアプリ アップデートのお願い(12月18日)
https://www.paypay-corp.co.jp/notice/20181218/01/
・お客様へのお詫び(12月19日)
https://www.paypay-corp.co.jp/notice/20181219/01/