昨日から急増している(いた)電子決済サービス、PayPay経由でのクレッジットカード不正利用の被害。
Twitterなどを中心におびただしい数の被害報告があがっており、金額も数万円から数十万円、ときには100万近く不正使用されていたというケースも報告されています。
この一連の問題、もちろん悪いのは不正利用をした人物なのですが、どうやらPaypay経由で被害集中したのには理由があるようです。
まず、この問題はPaypayへの登録を指定ない人でも被害にあっているという点からして、PayPay自体からクレジットカード情報が流出したという可能性はほぼゼロと良いでしょう。
となると、元々情報流出状態のカード情報が悪用された、可能性も高く、そういった意味ではPaypayに直接的な原因はないというという見方もできます。
しかし、それだとなぜPaypayのみでこのような被害が短時間に一斉発生したのか、という疑問がでてきます。
これ、ちょっと調べてみたところ、Paypayのクレジットカード登録システムが「ザル」であることが一因の模様。
というのも、まず、PayPayの支払い方法でクレジットカードを選ぶと以下のような登録画面が出ます。
ご覧のようにカード名義を入力する欄もありません。
ただ、問題はどうやらPaypayでは何度カード登録に失敗をしてもアカウントにロックなどはかかからず好きなだけ再試行ができてしまう、という点。
paypay、有効期限とセキュリティコードを何度も数字変えて間違ってもロックなんて掛からんな。「クレジットカードの登録に失敗しました」がその度に出るだけ。これ総当たりで登録したので確定でいいと思う。
paypayで不正利用された皆さん! 原因はpaypayのガバガバセキュリティのせいです!
— のーそふとばんく(ソフトバンクアンチ猫) (@no_softbank) December 14, 2018
つまり、クレジットカード番号を適当に入力し、そのカードが運よく存在すれば、あとは有効期限とセキュリティーコードを総当たりで試せば登録が可能になってしまう、ということ。
これはセキュリティ上のかなり致命的な「欠陥」とすら言える部分だと思います。
また、当てずっぽうにクレカ番号を入力している可能性が高いので、クレジットカードを持っていればPaypayどころかスマホさえ持っていない人でも被害に遭う可能性がある、ということになります。
なお、今回の事件との前兆なのか、数日前より登録した覚えがないのにPaypay登録に必要な認証番号がSMSで送られてくる、という報告が何件か挙がっていました。
誰だよわしの番号でpaypay登録しようとしてる奴
認証番号届いたぞ— ゆなすけ (@xEldorax) December 13, 2018
なんかpaypayに入力しろって知らない所からSMS来るわー
— くちむ (@kcm_chr_0810) December 8, 2018
ペイペイといえば、誰か電話番号間違えて登録しちゃったぽく、ワシの電話に認証番号届いてたな。その方焦ってたのかな…
— にゃんだくれ (@konyanpachi) December 5, 2018
これはおそらく今回のクレジットカード不正利用に向けてPaypayの偽装アカウントを作成。
足がつかないように適当な電話番号を登録、その上でクレカ番号同様に総当たり方式で認証番号を入力して登録を行っていたのではないでしょうか。
つまり、場合によっては自分の電話番号が勝手にPaypayに登録され、知らない間に「加害者」の番号として登録されているしまっている可能性も。
そう言えば、昨日くらいからでしょうか。Paypayの登録に必要な認証用SMSが届かない、弾かれる、といった報告も急増しています。
ひょっとするとこれは一連の不正使用問題を受けてPaypay側が一時的にSMS認証に何らかの制限をかけているという可能性もありそうです。
なお、この問題についてはPaypay側もすでに認識しているようで、14日付けで以下のようなお知らせも一応の「対処法」として公式ページ上に掲載しています。
ただ、結局はクレジットカード会社に連絡してくれ、という内容なの役には立たないと思われます。
いずれにせよ、この一連のPaypay+クレカ不正使用事件、かなり規模が大きそうなので警察や金融庁なども動くかもしれません。
となると、ソフトバンクやYahoo!ジャパン、かなりお叱りを受けそうですね。
コメント
ひどすぎる…
クレカの明細をチェックしない人なんてザラにいるから気づかない人もいそう
paypayは電話番号によるSMS認証必須なので自分の電話番号でしか登録できませんよ。確認コードが手元に来ないんですから。
番号総当たり対策にしもクレカ会社の責務ではないでしょうか。(なので不正利用の保証はクレカ会社が負います)
今回の件でクレジットカードの仕組みそのものの弱点が露呈しました。もともとクレカは番号だけで利用できる脆弱な仕組みを、不正利用があったさいに保障するという形で運用しています。
誰かが訳もわからずにとりあえずタップして認証してくれたら儲けもの程度で集めた電話番号片っ端からパソコンで自動入力したんでしょうかね。
警察が動くかどうかはわからないけど
マスゴミは未だだんまりですな。
ただ、被害を受けている信販会社と保険会社は訴訟の準備をしているはずです。
本人確認を怠る杜撰なシステムが原因なのは明確だから
裁判所で争った場合、確実に原告が勝てますね。
paypayの登録をしていない、が指定ないになってますよ。誤植です。