銀行員のための教科書

これからの時代に必要な金融知識と考え方を。

【余話】「PAYPAY」の不正利用はかなりヤバい問題~アプリ利用者以外にも影響あり~

f:id:naoto0211:20181217211214j:image

かなり大きな問題となりそうなニュースが報道されています。

今回は速報として、記事を掲載します。

 

報道内容

「PayPay」 不正利用相次ぐ 覚えない請求に注意を
2018年12月17日 16時36分

NHK Web News 

QRコードを使ったスマートフォンの決済サービス、「PayPay」を使ったクレジットカードの不正利用が相次いで確認され、運営会社は、身に覚えのない請求に注意するよう呼びかけています。

「PayPay」は、ヤフーとソフトバンクが共同で出資してことし10月から始めたスマホの決済サービスで、今月、支払額の20%を還元する大がかりなキャンペーンを行いました。

運営会社によりますと、このキャンペーン期間中、会社側に対して、「PayPay」を使った身に覚えのないクレジットカード決済が行われたという利用者からの連絡が相次いでいるということです。

中には、アプリを使っていない人からも不正に決済されたという報告が寄せられているとしています。

会社は、顧客情報の流出などは起きていないとしていて、何らかの方法で不正にクレジットカード情報を入手した第三者が勝手にアプリに登録して利用したとみています。

「PayPay」では、アプリにクレジットカードを登録する際、数字3ケタのセキュリティコードなどを何度、間違えても入力に制限がかからない仕様になっているということです。

会社は「入力回数の制限について速やかに対応していきたい」とするとともに、身に覚えのない請求があった場合は、カード会社へ問い合わせるよう注意を呼びかけています。

https://www3.nhk.or.jp/news/html/20181217/k10011750041000.html

 

所見

普通に考えて、これはかなり大きな問題です。非常に重大な問題に発展する可能性があります。

PAYPAYをダウンロードしていなければ関係ないと考える方が多いかもしれませんが、恐らく間違いです。

この問題のポイントは「個人のクレジットカードのセキュリティコードを悪意の第三者が特定出来ること」にあります。

セキュリティコードは個人がクレジットカードの契約者本人どあることを証明するためのコードです。

すなわち、クレジットカードのカード番号、有効期限が判明していれば(すなわちカード情報を何らかの形で入手していれば)、セキュリティコードを何度も入力することで、セキュリティコードが特定できます(三桁のため単純に1,000回やれば特定可能)。

このセキュリティコードを含めた情報を使えば、PAYPAYでなくとも、例えばECサイトでもクレジットカードの利用は可能です。PAYPAYは関係ないのです。

筆者だったら、可能な限りのクレジットカード情報を収集しておき、徐々に使っていくかもしれません。今回の報道でPAYPAYは利用履歴に注目が集まるでしょうから、PAYPAY以外を狙うでしょう。そして、ニュースが忘れられた頃にセキュリティコードを使って不正利用をするのです。

今回、100億円還元キャンペーン中に、PAYPAYのシステムがダウンしたとの報道がなされていました。筆者は素直に申し込みや決済が集中しているだけだと考えていました。しかし、実際には悪意の第三者がセキュリティコードの特定のためにシステムを組んで入力を繰り返していたのかもしれません(筆者はシステムについては完全に素人ですが)。

個人としては、しばらくはカードの請求明細をしっかりと確認しておいた方が良いかもしれません。

(筆者は、これを期にPAYPAYをダウンロードしました。クレジットカードが登録されていないかチェックするためです。変な話ですが。)

また、不正利用が広がった場合にPAYPAY側にどのような責任が発生するのかは分かりません。筆者はクレジットカード会社に出向したこともなく、業務も詳しくありませんが、不正利用されたクレジットカード会社側はPAYPAYに対して損害賠償を請求してもおかしくないでしょう(不正利用とPAYPAYのシステムの穴との関連性立証が困難かもしれませんが)。