カリンライフログ

アラフォーおひとりさま女性目線で綴る、世の中のあれこれ考察ブログ

PayPayの不正利用の被害が相次ぐ理由はセキュリティが甘すぎるから?

この記事をシェアする

f:id:karingoya:20181217232925j:plain

今、何かと世間を賑わせている【PayPay】

QRコードを用いた新しいタイプのキャッシュレス決済サービスで、PayPayで決済をすると20%還元されるという『100億円あげちゃうキャンペーン』が話題となり、開始からたったの10日間でキャンペーンが終了するという大フィーバーぶりだった。

しかしここ数日になって、PayPayアプリにおいてクレジットカード不正利用されたとの被害を訴える人が続出しているとか。

news.livedoor.com

サービス開始早々、個人情報が流出して悪用されてしまったということだろうか。

いったい、ペイペイで何が起こっているのか。

 

PayPayアプリのセキュリティ対策の甘さがバレた?

先日行われた『100億円あげちゃうキャンペーン』とほぼ同時期から、クレカの不正利用が次々と発覚しているというが、ペイペイのユーザー登録をしている人だけでなく、アプリダウンロードしていない未登録の人にまで被害が及んでいるというところが、疑問に思う点だ。

いったいどこからクレジットカード情報が洩れているのか。

この件についてPayPayの運営会社は、自社のアプリを介して個人情報が流出したという事実はないとしているが、キャンペーン実施日に多くの利用者が見込まれるところを狙って、闇サイトなどを運営する組織の人間が不正に入手した個人データを裏で売買し、そのデータをPayPayに登録・利用していたという可能性も否定できないとか。

だが、PayPayアプリのシステムにも問題点が。

クレジットカード情報を登録する画面で『セキュリティーコード』を入力する欄がある。

セキュリティコードは、クレジットカードの裏面に記載されている3桁の数字のことで、ネットショッピング等での決済で、クレジットカードが不正に使われるのを防止するために設けられているもの。

一般的なネット上での決済画面では、セキュリティーコードを連続で間違えて入力してしまうとロックが掛かる仕様になっているが、PayPayのアプリの登録画面では、こういったロック機能の設定や入力回数の制限などが行われていなかったのだそう。

000から999まで、3ケタの数字の並びは全部で1000通り近くあるわけだが、入力できる回数に制限がないとなれば、いわゆる『総当たり攻撃』で根気よく探していけば、セキュリティーコードに当てはまる数字を知られてしまう可能性も十分にあるわけで。

これって普通に怖くないか?

私は夕方の某ニュース番組で、PayPayの運営会社の広報担当者が今回の不正利用に関して取材に応じているのを拝見したが、お客様がセキュリティーコードを誤って入力してしまった場合を考慮してロック機能を設定していなかったという主旨の話をしているのを聞いて、いやいやそれはないだろ!と思ってしまった。

そりゃ、たった一回間違えただけでロックがかかってしまうシステムとかなら、多少不便に感じることもあるかもしれないけど、さすがに回数無制限ってのは、セキュリティ面があまりにも緩すぎるのではないか。

不正利用の被害が発覚したとともに、PayPayアプリのセキュリティ管理に対する認識の甘さまでが浮き彫りになってしまったな。

運営会社は早急に対策を実施

これらの問題を受けて、PayPay側もセキュリティーコードの入力回数に上限を設けるなど、具体的な対策に乗り出す方針のよう。

またPayPayの公式ホームページ上でも、身に覚えのないクレジットカードの請求が来た場合の対処法についてアナウンスをしている。

www.paypay-corp.co.jp

今回の件はPayPayの決済を一度も利用したことが無い人も、気付かぬうちに被害に遭っていたということが有り得るかもしれないので、自分には関係ないと思わずに、念のため手持ちのクレジットカードの利用明細を確認してみた方が良さそうだ。

しかし、キャッシュレス決済において一番怠ってはならないセキュリティ対策。

新しく提供し始めたばかりのサービスだから仕方がないという一言では済まされない部分も大いにあるから、これを機にしっかり見直してほしいと願う。

【2018.12.18追記】

早速、PayPayアプリの更新が行われたようだ。

クレジットカード情報の入力に制限回数が設けられたとのこと。

アプリを利用されている方は、お早めにアップデートを!

www.paypay-corp.co.jp