スマホ決済サービスPayPay (ペイペイ) の、「100億円あげちゃうキャンペーン」ですが12/13をもって早くも終了しました。前後してクレカ不正使用の温床になりつつある由々しき事態も発覚しています。
ここしばらくの話題をかっさらって多くのユーザをスマホ決済に引き込んだサービスとなりましたが、果たしてユーザはこのままPayPayに居着くのか、それとも次の美味しいネタを求めて別サービスに移動するのか、どちらでしょうか。
また、流出したクレジットカードの不正使用の温床になり得るガバガバな本人確認しかしていなかった疑惑も出てきています。
- 12/13 23:59:59をもって100億円あげちゃうキャンペーン終了
- 流出クレジットカード番号をPayPayで使用される不正使用の手口も発覚
今回の記事は上記の二つのポイントについてお話します。
わずか10日で100億円到達、PayPayの「100億円あげちゃうキャンペーン」終了へ
PayPayはいわゆるスマホ決済サービスです。お買物をする消費者のスマホがあれば店舗側には高額なカードリーダーを用意する必要もなく初期投資が少なくて済むため導入のハードルが低いのが特徴です。
PayPayで決済した金額の20%をその都度もれなく還元 & 運が良ければその回の決済の全額をPayPayボーナスで還元、という体力にモノを言わせたかなりぶっ飛んだキャンペーンで世間の注目を浴びていました。
(1)PayPayでの支払いで通常特典としてプレゼントしている0.5%のPayPayボーナスに19.5%のPayPayボーナスを上乗せし、支払額の合計20%を還元
(2)40回に1回の確率で支払額の全額をPayPayボーナスで還元
出典 : PayPay公式
キャンペーン詳細はコチラ ('19/2/5追記) 第2弾キャンペーン開催が発表されました! 2018年12月4日から開始されているスマホ決済サービ ... 続きを見る
支払額の20%還元!?PayPay (ペイペイ) の100億円あげちゃうキャンペーンの注意事項
キャンペーンは本当に終了していた
先日はPayPayから加盟店あてに出されたという通知の印刷物の写真を引き金に、「キャンペーンが終了する」と報じられたらすかさず、「まだ終了と決まったわけではない」などとPayPay広報が返していたりしましたがどうやらブラフだった模様。
実際にPayPay公式サイトを訪れてみると、明確に「100億円あげちゃうキャンペーンは終了しました」という旨の文言が明記されています。
引用元 : https://paypay.ne.jp/
引用元 : https://paypay.ne.jp/
20%還元に慣れ切った客がこのままPayPayに留まるのか?
実際、このキャンペーンの反響はとても大きく、前週の週末 (12/8,9の土日) などは秋葉原を中心に、「運が良ければ全額還元」を目当てに高額商品を購入しに来た買い物客がPayPay加盟店のビックカメラやツクモ電機に殺到。一部で「地獄絵図」と呼ばれるほどの大混雑と活況を見せていました。
引用 : https://akiba-pc.watch.impress.co.jp/img/ah/docs/1157/418/html/pay4.jpg.html
PayPayで支払うために客が殺到する、こんな大盛況も20%還元があってこそ。今後はしばらく従来の還元率である0.50%に戻る見込みですが、このまま消費者はPayPayを使い続けるのでしょうか。
キャンペーンで還元されたポイントはPayPay払いでしか使えない
今回のキャンペーンで付与されたポイントはPayPayボーナスと呼ばれるポイントです。一言で言えばPayPay残高として受け取ることしかできず、他の共通ポイントとの交換は行われていません。
そのため、本キャンペーン期間中に高額な買い物をして5万円近くまでポイントバックを受けた方や、支払い額の全額ポイントバックに当選した人を中心に数千円~数万円相当のPayPayボーナスを受け取る予定のユーザもかなりの数いるはずです。
本キャンペーンのPayPayボーナス付与は、「決済された月の翌月10日前後」に付与される予定とのことですので、少なくとも2019年1月10日前後から付与されたPayPayボーナスを使い切るための消費行動が期待できます。
PayPayボーナス
PayPayボーナス : キャンペーンや特典の適用よって付与されたPayPay。有効期限は2年間。出金不可能。
出金も出来ないし有効期限もあるため、どうしてもPayPayで支払うことでしか利用できません。そして残高が不足したらまたチャージして使ってね・・・というのがPayPayの目当てなのかも。
しかし後述の致命的なセキュリティ問題が発覚したため、信頼感ダダ下がりです。
キャンペーンがなくてもPayPayで支払う方がお得なことも
この20%還元キャンペーンが終了したからといってPayPay支払いを止めてしまうのも早計です。というのも、PayPayで支払う限り0.50%還元自体はなくなりません。
そのため、PayPayにクレジットカードを紐付けておけば支払い時のPayPay残高が不足しており十分なYahoo!マネーを持っていない場合は自動的に紐付けているクレジットカードで支払うことになるため、PayPayの0.50%還元とクレジットカードのポイント還元を二重取りが可能です。
クレジットカードを紐付けて利用している方はPayPay払いが可能である限り、還元率だけを見れば店頭での支払いはPayPayにする方がお得と言える場面が多そうです。
しかし後述の致命的なセキュリティ問題が発覚したため、継続使用は見合わせる方が多いと思います。不正使用被害に遭った顧客への姿勢など、疑念を抱かざるを得ないです。
クレジットカードで支払った方がいい場合
しかし何事にも例外があります。
例えばJAL特約店であるファミリーマートで支払う場合、JALカードで支払えばJALマイルが2倍もらえますが、PayPayで支払う場合はJALマイルが一倍のままになると思われます。支払いの主体はあくまでPayPayであり、JALカードはファミリーマートでなくPayPayに対して支払いを行っているからです。
コンビニの支払いは少額であることが多いとはいえ、JALマイルを貯めたい方にとっては見過ごせない問題でしょう。
※JALカードを決済カードとして指定したQUICPay(Apple Pay含む)でのお支払いも特約店マイル積算の対象となります。
ただし、JALカードSuicaを決済カードとして指定したApple Pay(QUICPay)でお支払いされた際の特約店マイルは、2018年3月ご請求分より積算対象となります。引用 : JALカード
推測ベースの話で申し訳ありませんが、一応の根拠として未だにQUICPayやApple Payでの支払いに対する特約店マイルの付与が進んでいないことが挙げられます。かなり前から開始されているサービスですらこの状況なので、JALカードを決済カードに指定したPayPayで特約店マイルまでもらうのは難しそうです。
JALカード以外でも、このような加盟店と特定のクレジットカードとの間の特約についてはPayPayを挟むと無効になってしまうことが多いのではないでしょうか。
こうしたスマホ決済サービスを間に挟んだ場合の、特定クレジットカードのポイント増加特典消失の有無については別途調査の上記事にまとめたいと思います。
また、クレジットカード取扱時のセキュリティ施策についても各社で基準がバラバラのため、大事なクレジットカード情報を預ける相手は慎重に選んだ方が良さそうです。本追記執筆時点 ('18/12/16未明) ではPayPayは信用に値しません。
12/18、アプリアップデートで改善されました。
-
PayPay (ペイペイ) のクレカ不正使用問題(対応済み)の問題点と修正点のまとめ
('19/2/5追記) 第2弾キャンペーン開催が発表されました! 今回はクレジットカード不正使用の騒動の原 ...
続きを見る
'18/12/15追記 : クレジットカード不正使用の温床に
しかし、そこに冷や水を浴びせるニュースが入ってきました。
もともと流出していたクレジットカード番号を、第三者が自分のPayPayに登録してしまい、そのPayPayで買い物をしまくる、というのが今回の不正使用の手口です。
つまり被害に遭った人はPayPayが世に出る以前からご自身のカード番号が何らかの経路で流出していた可能性が非常に高いです。ご注意ください。
また、多重戦士の皆様中心に、たまにはカードの利用明細を確認して知らない決済がいつの間に行われていないか確認しましょう。
本来、クレジットカード番号登録の際には厳格な本人確認が求められるべきですが、この辺り割とガバガバな確認しかしていないですね・・・。
3万円以下の決済は本人確認無し
これも問題と言えば問題になるのかも知れませんが、iDやQUICPayなどと同じく少額決済をスピーディに行うという観点からは仕方のない点だと思います。
一部店舗はPayPay祭りで大混雑していた際に3万円以上の買い物でも本人確認していなかったみたいですが、それはその店舗側の問題でもあります。
百歩譲ってこれは仕方ないとして、問題はこの次。
クレジットカード登録時のセキュリティコードを何度間違えてもリトライ可能
登録画面にはセキュリティコード入力画面があるはあるんですが。。。
実はこれ、何度セキュリティコードや有効期限を間違えてもクレジットカード側に警報も上がらずロックもかからないようです。ついでに、クレジットカード名義人の登録も必要ありません。
つまり、流出した16桁のカード番号さえあれば、総当たりで延々と再試行していつかは正しいセキュリティコードに行き着いて登録できてしまうとのこと。
PayPayアカウント登録からクレジットカード登録までの流れ!本人確認を最低限しか行っていません。
せっかくなのでスマホでクレジットカード登録までの流れを再現してみました。
PayPayアプリインストールしたての状態。新規アカウント登録をするか、既存のYahoo! IDとの紐付けを行うことでログイン可能になります。
Yahoo! IDでログインした直後、電話番号の登録が求められます。携帯電話番号を登録すると4桁の番号がSMSで送られてくるため、これを登録すると晴れてPayPayを利用可能に。
登録完了。自分のQRコードやバーコードが表示可能になります。初回登録時は500円ボーナスが付与されているため、500円までなら即支払い可能。
「支払方法の設定」からさっそくクレジットカードを登録してみます。通常はカメラを利用して自分のカードを撮影し、自動認識によるカード番号登録に進みますがここでは敢えて手動登録を行います。
物議をかもしている、件のクレジットカード登録画面。カード番号、有効期限、セキュリティコードのみの入力を求められており、氏名や生年月日については何の確認もされません。
わざとセキュリティコードやカード有効期限を間違えて入力してみましたが、「クレジットカードに問題があるようです」と表示されるものの、「〇〇回以上認証できない場合~~しますよ」的なロック機能はない模様。
数回誤ってもずっとこのエラーメッセージのみ表示されたため、諦めて正しい番号を入力してみます。
正しいクレジットカード番号、正しい有効期限、正しいセキュリティコードの入力でクレジットカード登録が完了しました。
ここまで一切氏名、生年月日の確認はありませんでした。もちろんカード登録に伴うSMS認証もありません。
せめてクレジットカードに紐付いた携帯電話番号に対するSMS認証を行うだけでも、相当にセキュリティレベルが上がったでしょうに。
不正使用してくださいと言っているようなものに見えます。何でこういうのをテストしないでリリースしちゃうんでしょうかね。・・・むしろ仕様としてこれでOKとして、仕様通りに動作する試験を突破してリリースされちゃったのかな。先日の携帯電話大規模障害といい、どうも手を抜いてはいけないところで工数やコストを削減したがる傾向がありますね、こちらの親会社さんは。
PayPayを利用したクレジットカード不正使用に対するPayPay側のコメント
これまた火に油を注ぐ様なコメントも出されていました。
被害者によりそう意識や姿勢がまったく感じられません。サービス業としてはなかなか高飛車な姿勢でちょっとびっくりしましたが・・・
- 身に覚えのない利用があったら、先ずあなたの親兄弟、配偶者、お子様、ご友人を疑ってください
- ご家族の利用でないならカード会社に連絡してください。ウチは悪くありませんから。
こういうことですね。
普通さあ、「ご不便やご心配をおかけしてしまい恐縮です」ぐらいは言いますよね、自分が一方的に悪いわけではないにしても。
今回は流出済みのクレジットカード番号ありきの不正使用被害なので、そもそも自分のカード番号を流出させてしまった消費者側の管理責任もありますよ。
しかし、不正使用しやすいシステムを大々的に開放しているのはPayPayです。不正に入手した第三者のカード番号を利用して換金性の高い品物を買いまくって、カード利用枠の現金化の代わりに使われているとしか思えません。
参考 : 競合他社の本人確認はPayPayよりもはるかに厳重
d払い : 氏名・住所・生年月日を登録したdアカウントによる認証 + 3Dセキュア必須
楽天pay : 楽天市場で、氏名・住所・生年月日を登録した楽天IDによる認証 + GPS起動
競合他社はこうした認証を潜り抜けないとカード情報の登録ができません。これらと比較するとPayPayがいかにザルなのかよくわかると思います。
100億円キャンペーンの唐突な終了の原因はもしかして?
もしかすると突然100億円キャンペーン終了になったのはこの不正使用を問題視したからでしょうか?ついつい勘ぐってしまいたくなるタイミングでキャンペーンが終了しているのも事実なんですよね。
おわりに
今回はPayPayの「100億円あげちゃうキャンペーン」終了と、PayPayを使い続けた方が得なのか?という疑問についてのお話でした。
(12/15) クレジットカード番号登録時の重大なセキュリティホールについても追記。
最後まで読み進めていただきありがとうございました。
