昨日から急増している(いた)電子決済サービス、PayPay経由でのクレッジットカード不正利用の被害。
Twitterなどを中心におびただしい数の被害報告があがっており、金額も数万円から数十万円、ときには100万近く不正使用されていたというケースも報告されています。
この一連の問題、もちろん悪いのは不正利用をした人物なのですが、どうやらPaypay経由で被害集中したのには理由があるようです。
まず、この問題はPaypayへの登録を指定ない人でも被害にあっているという点からして、PayPay自体からクレジットカード情報が流出したという可能性はほぼゼロと良いでしょう。
となると、元々情報流出状態のカード情報が悪用された、可能性も高く、そういった意味ではPaypayに直接的な原因はないというという見方もできます。
しかし、それだとなぜPaypayのみでこのような被害が短時間に一斉発生したのか、という疑問がでてきます。
これ、ちょっと調べてみたところ、Paypayのクレジットカード登録システムが「ザル」であることが一因の模様。
というのも、まず、PayPayの支払い方法でクレジットカードを選ぶと以下のような登録画面が出ます。
ご覧のようにカード名義を入力する欄もありません。
ただ、問題はどうやらPaypayでは何度カード登録に失敗をしてもアカウントにロックなどはかかからず好きなだけ再試行ができてしまう、という点。
paypay、有効期限とセキュリティコードを何度も数字変えて間違ってもロックなんて掛からんな。「クレジットカードの登録に失敗しました」がその度に出るだけ。これ総当たりで登録したので確定でいいと思う。
paypayで不正利用された皆さん! 原因はpaypayのガバガバセキュリティのせいです!
— のーそふとばんく(ソフトバンクアンチ猫) (@no_softbank) December 14, 2018
つまり、クレジットカード番号を適当に入力し、そのカードが運よく存在すれば、あとは有効期限とセキュリティーコードを総当たりで試せば登録が可能になってしまう、ということ。
これはセキュリティ上のかなり致命的な「欠陥」とすら言える部分だと思います。
また、当てずっぽうにクレカ番号を入力している可能性が高いので、クレジットカードを持っていればPaypayどころかスマホさえ持っていない人でも被害に遭う可能性がある、ということになります。
なお、今回の事件との前兆なのか、数日前より登録した覚えがないのにPaypay登録に必要な認証番号がSMSで送られてくる、という報告が何件か挙がっていました。
誰だよわしの番号でpaypay登録しようとしてる奴
認証番号届いたぞ— ゆなすけ (@xEldorax) December 13, 2018
なんかpaypayに入力しろって知らない所からSMS来るわー
— くちむ@脇の間ランド開園しました (@kcm_chr_0810) December 8, 2018
ペイペイといえば、誰か電話番号間違えて登録しちゃったぽく、ワシの電話に認証番号届いてたな。その方焦ってたのかな…
— にゃんだくれ (@konyanpachi) December 5, 2018
これはおそらく今回のクレジットカード不正利用に向けてPaypayの偽装アカウントを作成。
足がつかないように適当な電話番号を登録、その上でクレカ番号同様に総当たり方式で認証番号を入力して登録を行っていたのではないでしょうか。
つまり、場合によっては自分の電話番号が勝手にPaypayに登録され、知らない間に「加害者」の番号として登録されているしまっている可能性も。
そう言えば、昨日くらいからでしょうか。Paypayの登録に必要な認証用SMSが届かない、弾かれる、といった報告も急増しています。
ひょっとするとこれは一連の不正使用問題を受けてPaypay側が一時的にSMS認証に何らかの制限をかけているという可能性もありそうです。
なお、この問題についてはPaypay側もすでに認識しているようで、14日付けで以下のようなお知らせも一応の「対処法」として公式ページ上に掲載しています。
ただ、結局はクレジットカード会社に連絡してくれ、という内容なの役には立たないと思われます。
いずれにせよ、この一連のPaypay+クレカ不正使用事件、かなり規模が大きそうなので警察や金融庁なども動くかもしれません。
となると、ソフトバンクやYahoo!ジャパン、かなりお叱りを受けそうですね。
