クレジットカード社会で生きるということ~生き残るためのお金の知識~

キャッシュレス社会でこの先生きのこるため、クレジットカードのお得情報や入会審査に関する情報を発信しています。

PayPay (ペイペイ) のクレカ不正使用問題(対応済み)の問題点と修正点のまとめ

2018年12月21日



('19/2/5追記) 第2弾キャンペーン開催が発表されました!

PayPay、第2弾100億円キャンペーンを2/12に開始!第1弾と何が違う?

スマホ決済サービスPayPay (ペイペイ) の第2弾 100億円キャンペーン、本記事では第1弾との違いについて解説しま ...

続きを見る

 

今回はクレジットカード不正使用の騒動の原因になったPayPayの問題点と、その対応としての修正についての情報をお伝えします。

100億円還元キャンペーンからクレジットカード不正使用で世を騒がせたスマホ決済サービス、「PayPay」(ペイペイ)。当初は利用金額の20%還元、さらに運が良ければその決済で支払った金額の全額をPayPayボーナスとして還元するという、ソフトバンクグループという巨大企業の体力にものを言わせるかのごとき高還元キャンペーンが人気を呼びました。週末の秋葉原などでは高級品をPayPayで購入して20%、あわよくば100%還元を狙おうという買い物客でごったがえしていました。

急転直下、PayPayを利用したクレジットカード不正使用が報じられたタイミングと前後して「100億円あげちゃうキャンペーン」も終了。マスコミやネットメディアで繰り返し問題点を指摘され、何らかの対応をせざるを得なくなった模様です。

クレジットカード不正使用に利用されたPayPayの穴 (対応済とのこと)

もともと流出していたクレジットカード番号を、第三者が自分のPayPayに登録してしまい、そのPayPayで買い物をしまくる、というのが件の不正使用の手口です。

つまり被害に遭った人はPayPayが世に出る以前からご自身のカード番号が何らかの経路で流出していた可能性が非常に高いことになります。

セキュリティコードがほぼ意味をなしていなかったのがPayPayのクレジットカード登録システムの最大の欠点でした。

何度セキュリティコードや有効期限を間違えてもクレジットカード側に警報も上げずロックもかからないという、性善説に基づいた設計になっていました。クレジットカード名義人の登録も必要なし。

どうやらこうしたガバガバな決済システムは他にもいくつかあるようなので、今回たまたまPayPayがターゲットにされた側面もあるのかも知れません。

つまるところは、流出した16桁のカード番号と有効期限さえあれば、総当たりで延々と再試行していつかは正しいセキュリティコードに行き着いて登録できてしまいました。

セキュリティコードは従来、磁気テープ部にも記録されておらずカード裏面にしか記載がないためスキミング対策として効果を発揮してきましたが、セキュリティコードの意味をなしていなかったのが問題点として取り上げられていました。

PayPayアプリのクレジットカード登録画面の修正点

入力回数制限を設けた

出典 : PayPayからのお知らせ

 

「PayPayアプリでクレジットカード情報を入力する際、入力回数に制限を設けました。」とあります。… だから何の入力回数制限なんだろう、と思いませんか?

確認するため、不正使用の件があって以来放置していたPayPayアプリを起動してみたところ強制的に以下の表示となり、アプリのアップデートなしでは決済に利用できなくなっています。

新機能の追加およびパフォーマンスを改善しました。」とのこと。さっきのお知らせと言っていることが違うのが引っ掛かりますが、早速PayPayアプリをアップデートして、どんな点が修正されているのかを検証してみました。

カード名義人確認はされないまま

手持ちのクレジットカード (Yahoo! JAPANカード JCB) を登録してみましたが、やはり本人確認においてクレジットカード名義人の確認は行われませんでした。

今までどおり、カード番号、有効期限、セキュリティコードの3点が一致していればPayPay残高不足時に決済に使用するクレジットカードとして登録可能です。

他に穴がないか検証してみた

クレジットカード情報の入力において「回数制限」を設けたとのことなので、さっそく試してみます。これが新機能とは片腹痛しと言いたくなるかも知れませんが、まあ置いといて・・・。

正しいクレジットカード番号(16桁) + 正しい有効期限 + 誤ったセキュリティコード

意図的に誤ったセキュリティコードを入力してみたところ、以下の画面が表示されました。

不正なカードを利用しようとして、セキュリティコードを総当たりしようとしても最大3回までしか失敗できません。

4回目の失敗で利用制限がかかると表示されています。

誤ったクレジットカード番号でも総当たりで正しい番号に行き着く?

自分のクレジットカード番号の末尾を1ずつ足していって、総当たりにクレジットカード番号が正しい番号かどうかを確認可能であるか否か、という点を試してみました。

結論から言えば、誤ったカード番号を何度登録しようとしても利用制限はかかりません。そのため、総当たりで利用可能なクレジットカード番号を強引に割り出すことは可能と思われます。もちろん、有効期限とセキュリティコードがこれで分かるわけではないので不正使用に即座に結びついたりはしません。それにカード番号をランダムに生成するプログラムを配布しているwebサイトもあることでしょう。PayPayとしてこの穴になり得るポイントを修正するという優先度は低かったものと思われます。

・・・しかし、最低限の対処さえすればいいや、という姿勢とも見られかねないのでやはり親が親なら子も子であると言わざるを得ません。

スポンサーリンク

正しいカード番号 + 誤った有効期限 + 正しい or 誤ったセキュリティコード

これを試してみましたが、先ほどと同様、「クレジットカードに問題があるようです。」のエラー画面が表示されるのみでした。「あと〇回失敗すると利用制限かけますよ」という旨のメッセージは出力されませんでしたので、恐らく有効期限も総当たりで割り出すことが可能と思われます。

「正しいカード番号 + 正しい有効期限 + 誤ったセキュリティコード」へ行き着いた場合は「あと〇回失敗すると利用制限」のエラーメッセージが表示されるためです。これが出た場合は有効期限が正しいという事になるかと思われます。

仮に「正しいクレジットカード番号 + 正しい有効期限」のペアに行き着いたところで、最後の難関、セキュリティコードが待ち構えています。

0.4%の確率でこれも突破されてしまいます。

  • 有効期限調査時のセキュリティコードが誤っている場合 … 000~999の1,000通りからこの番号を除外可能
  •  残り試行可能回数は3回のため、4回 / 1,000通り = 0.40%の確率で正解

今回の修正に関する結論

カード不正使用の可能性が激減したのは事実なので、評価できると言えば出来ますが当たり前のレベルに到達しただけと見られても仕方のないところかと思います。

特に、有効期限やカード番号そのものの誤登録に関して回数制限をかけないのはいかがなものかと思います。セキュリティコードの回数制限と同じ仕組みを使えばいいんでしょうから、少しの手間で「それなりにきちんと対処してきた」という評価を得られるチャンスだった気がするんですが。ここは手を抜いていいところなんでしょうか。。。

後述の、「カード決済利用上限額」なしでは万全の体制と言い難いかも。

クレジットカード決済上限額も設けた模様

唐突に、PayPayで支払いをする際にクレジット決済可能な上限を設けた模様です。

30日間で50,000円とこれまたかなり少額に絞ってきました。確かに不正使用でも5万円しか使えなければ万が一賠償になった場合でもダメージは小さいです。また、カード不正使用犯の方もリスクに比べてリターンが非常に小さいため、わざわざPayPayを狙って不正使用を行おうとしなくなることも期待できます。

もしかすると、今回のアプリアップデートによる「クレジットカード情報の登録試行回数制限」も付け焼刃でしかないとPayPay自身が認めているのかも知れませんね。

(追記) クレジットカード利用時の3Dセキュア対応 & 不正使用被害者への補償を表明

12月27日、PayPayは3Dセキュア (本人認証サービス) への対応とクレジットカード不正使用被害者への補償を行う旨を発表しました。

3Dセキュアはクレジットカード番号、有効期限、名義人氏名、セキュリティコードなどのクレジットカード上に記載がある情報とは別に、追加のIDやパスワードを利用してカード会員と発行元が相互に認証するための仕組みです。

[クレジットカード基礎知識] 3Dセキュアとは?あなたのクレジットカードを不正利用から守る鉄壁過ぎる仕組み!

「3Dセキュア」とはオンラインショッピング等、インターネット上の決済を安全に使うための強固な本人認証サービスです。今回は ...

続きを見る

上述した、クレジットカードによる決済上限額5万円、という施策は3Dセキュア対応完了まで継続される予定です。この時の発表では3Dセキュア対応は2019年1月に完了する見込みとのことです。

(追記その2) 3Dセキュア対応完了、クレジットカード決済限度額が25万円/30日に変更

2018年12月27日に表明していた、3Dセキュアへの対応が完了しました。

2019年1月21日以降、3Dセキュア対応クレジットカードをPayPay用に登録する場合、従来どおりクレジットカード番号、有効期限、セキュリティコードを登録した上で更に3Dセキュアによる追加パスワードなどの認証を行うことが可能になりました。従前と比較すると飛躍的にセキュリティ強度が向上したことになります。

やれば出来るなら初めからやっておけばいいのに、と思ったのは私だけでしょうか・・・。

また、不正利用を受けて制限していたクレジットカード決済可能な上限額を、暫定対策時の5万円/30日 → 25万円/30日 へと大きく引き上げました。上限額もユーザが任意の金額を選択できると良いのですが、システム改修が追いつかないのかな。ともかく、25万円まで利用可能になったため、大きな買い物にも再び使えるようになり利便性が元通りになったと言って良いでしょう。

関連記事 : 3Dセキュアって何のこと?という方はこちらを読んでみて下さい

おわりに

今回は、クレジットカード不正使用が騒がれた、スマホ決済サービス「PayPay (ペイペイ)」のアップデートに伴うクレジットカード登録画面における回数制限の詳細や、アップデート後に利用可能な穴があるのかを確認した簡単な検証と、恐らく暫定措置となるであろう、「30日間最大5万円」のカード決済上限額設置のお話でした。

最後までお読みくださりありがとうございました。

関連記事

発行しやすい人気のクレジットカード

ライフカード年会費有料版(Ch)

審査が不安な方向けのライフカード登場!
他社でクレジットカードを作れなかった人、申し込む価値アリです。
・年会費5,000円+消費税
ライフカードの完全独自基準による寛容な審査。
「審査の通りやすさ」がウリ。
・喪明けからのクレヒス育成に!
・お誕生月はポイント3倍!ポイントは各種ポイント、マイル、仮想通貨に交換可能

カード不正利用・紛失対応 〇
年会費ポイント還元
マイル換算
審査難易度国際ブランド
5,000円+消費税0.5%~1.5%
ANA 2.5~7.5マイル/1000円
★+
最短発行利用限度額サービス充実度お得度
一週間程度10万~30万円★★★★+★★★++

デポジット型ライフカード(Dp)

有料版ライフカード(Ch)を作れなかった方でも審査に通るライフカード登場!
どうしてもクレジットカードを欲しい方、他社でクレジットカードを作れなかった人、申し込む価値アリ。
・年会費5,000円+消費税 (ゴールドは10,000円+税)
デポジット (保証預り金 : 10万円 or 20万円~190万円) がそのまま利用限度額に
デポジットを預ければほぼ誰でも審査に通る。
・喪明けからのクレヒス育成に!
・お誕生月はポイント3倍!ポイントは各種ポイント、マイル、仮想通貨に交換可能

カード不正利用・紛失対応 〇
ゴールドカードは空港ラウンジも利用可能

年会費ポイント還元
マイル換算
審査難易度国際ブランド
一般 : 5,000円+消費税

ゴールド : 10,000円〜20,000円+消費税
0.5%~1.5%
ANA 2.5~7.5マイル/1000円
最短発行利用限度額サービス充実度お得度
3営業日~一般 : 10万円
ゴールド : 20万円~90万円 (年会費10,000円+消費税)
ゴールド : 100万円~190万円 (年会費20,000円+消費税)

※ ゴールドのみ20万円~190万円まで選択可 (同額の預り金が必要)
★★★★+★★★++

アメリカン・エキスプレス®・カード

海外旅行に強いアメックスの元祖、定番のT&Eカード。
各種プロテクション(不正利用補償・ショッピング返品保障・盗難/紛失補償)が充実。
海外旅行サポート … ○
・国内空港ラウンジ … ○ (同伴者一名も無料利用可能)
・海外空港ラウンジ … ○ (プライオリティパス、スタンダード付帯)
年会費ポイント還元
マイル換算
審査難易度国際ブランド
13,200円(税込)0.3%~1% (最大3.0%)
ANA1マイル/100円 
 ★★★+
最短発行ステータス度サービス充実度お得度
通常1~3週間★★★★★★★★★★★++

セディナカード Jiyu!da!

自由自在に毎月の支払額・支払い方法を選べる審査緩めのリボ専用カード
・年会費無料
審査は比較的寛容
・口座引き落とし+余裕のある時は追加返済、返済プランも自由に!
・ハローキティデザインも選べます

ダイエーとイオンで毎日ポイント3倍! & 海外のショッピング利用もポイント3倍!
・新規入会&登録で最大6,000ポイントプレゼント
年会費ポイント還元
マイル換算
審査難易度国際ブランド
永年無料0.50%~1.50%★★+
最短発行利用限度額サービス充実度お得度
審査 : ~二営業日
発行 : ~二週間
10万~200万円★★★★★★★

※本サイトの表記内容は2018年11月現在の内容になります。正しい詳細に関しては株式会社セディナの公式ページをご確認下さい。

楽天カード

楽天カードマンでお馴染み、年会費無料の高還元率カード。最初の一枚におススメ。
・信用育成後は最大ショッピング枠最大300万円/キャッシング枠最大100万円
常時1%以上の還元率
・楽天市場で3%~還元!
年会費ポイント還元
マイル換算
審査難易度国際ブランド
永年無料1%~10%★★++
最短発行利用限度額サービス充実度お得度
一週間5万~100万円★★+★★★★

VIASOカード

安心と信頼の銀行系ブランド、三菱UFJニコスによる年会費無料カード
・最短で翌営業日発行
国内/海外旅行保険(最大2,000万円)利用付帯
・たまったポイントは1ポイント1円で年一回オートキャッシュバック
・会員用ショッピングモール経由でのネットショッピングで最大10%還元
・ETCカード決済でポイント2倍
・大手携帯電話キャリア利用料金(NTTドコモ、au、Softbank、Y!Mobile)決済でポイント2倍
・大手プロバイダ利用料金(Yahoo! BB、OCN、au one net、BIGLOBE、ODN)決済でポイント2倍
年会費ポイント還元
マイル換算
審査難易度国際ブランド
無料0.50%
5ポイント/1,000円
★★++
最短発行利用限度額サービス充実度お得度
最短1~2営業日10万~100万円★+ ~ ★★★★★★★

三井住友VISAクラシックカード

VISAカードの定番、銀行系プロパーカード!迷ったときはこれを作っておけばOK
・緊急時の対応に定評あり、学生の方や初心者におススメ
クレジットカードに必要な基本機能を一通り備えたカード
信頼と安心の銀行系プロパーカード
年会費ポイント還元
マイル換算
審査難易度国際ブランド
 初年度無料
翌年以降1,350円
0.5%~1.0%
ANA300~600マイル/10万円
★★★(一般)
★★++ (学生)
最短発行利用限度額サービス充実度お得度
3営業日10万~80万円★★★+★★★

dカード

ドコモユーザでなくても発行可能!作れば確実にお得、今や作らないのはもったいない
・ローソンでのお買物、5%還元!
・年会費永年無料!!
・マツキヨ系列ドラッグストアでdポイント3倍!
・最短5分の超速審査!
・普段のお買物は1%還元
・ポイントは1ポイント単位で無駄なく利用可能!
年会費ポイント還元
マイル換算
審査難易度国際ブランド
永年無料 1.0%~4.0% ★★++
最短発行利用限度額サービス充実度お得度
即日審査完了(条件付き)10万~100万円★★★★+★★★★★+

マジカルクラブTカードJCB

高齢ホワイトでクレジットカード審査に通らない方、マジカルで修業しませんか?
・年会費は永年無料!
Tポイントが貯まりやすい
・審査は相当に寛容な部類
・高齢ホワイト(クレヒスなし)にも優しい審査
・限度額はやや低め

年会費ポイント還元
マイル換算
審査難易度国際ブランド
永年無料0.5%~★★
最短発行利用限度額サービス充実度お得度
二週間程度3万円~100万円★★★++★★★++

JCB CARD W

安心と信頼のJCBブランドによる高還元プロパーカード
・いつでもどこでもポイント還元率2倍
・18歳~39歳までの方専用カード

JCB CARD W plus LにはJCB LINDAと同様の女性向けサービス多数付帯

 

年会費ポイント還元
マイル換算
審査難易度国際ブランド
無料0.70%~2.50%★★★
最短発行利用限度額サービス充実度お得度
~2週間明記なし
初期与信~100万(?)
★★★★★★

おすすめ記事

1

2020年2月現在の、日本国内の主要クレジットカードの審査難易度のランキングです!昨年は筆者多忙につき更新できず恐縮です ...

2

2018年8月現在の日本国内の主要クレジットカードの審査難易度の一覧をランキング形式で公開いたします!先日公開した、「ラ ...

3

保証金を預ければ誰にでも発行されると噂のデポジット型ライフカードについて紹介します。カード受取時に代引きでデポジット ( ...

4

今回は反響の大きかった、「ライフカード有料版(Ch)」と一般のライフカードの違いについて、審査における違いや付帯特典の違 ...

5

年会費無料ながら、ライフカード(Ch)などと同等に審査に不安のある方でも通りやすいと言われているセディナカードJiyu! ...

6

今回は、クレジットカードに必ず載っている、「VISA」や「Mastercard」といったいわゆる「国際ブランド」と呼ばれ ...

7

今回は最近よく聞く、「共通ポイント」という言葉の意味や、日本国内で現在主流となっている共通ポイントについて解説します。 ...

8

今回は、2018年4月現在の主要なクレジットカードに特典として付帯してくる、海外旅行傷害保険・国内旅行傷害保険の一覧表を ...

-QRコード決済, 不正使用
-,

Copyright© クレジットカード社会で生きるということ~生き残るためのお金の知識~ , 2024 All Rights Reserved.