クレジットカード社会で生きるということ~生き残るためのお金の知識~

キャッシュレス社会でこの先生きのこるため、クレジットカードのお得情報や入会審査に関する情報を発信しています。

PayPay (ペイペイ) のクレカ不正使用問題(対応済み)の問題点と修正点のまとめ

投稿日:2018年12月21日 更新日:



('19/2/5追記) 第2弾キャンペーン開催が発表されました!

PayPay、第2弾100億円キャンペーンを2/12に開始!第1弾と何が違う?

スマホ決済サービスPayPay (ペイペイ) の第2弾 100億円キャンペーン、本記事では第1弾との違いについて解説しま ...

続きを見る

 

今回はクレジットカード不正使用の騒動の原因になったPayPayの問題点と、その対応としての修正についての情報をお伝えします。

100億円還元キャンペーンからクレジットカード不正使用で世を騒がせたスマホ決済サービス、「PayPay」(ペイペイ)。当初は利用金額の20%還元、さらに運が良ければその決済で支払った金額の全額をPayPayボーナスとして還元するという、ソフトバンクグループという巨大企業の体力にものを言わせるかのごとき高還元キャンペーンが人気を呼びました。週末の秋葉原などでは高級品をPayPayで購入して20%、あわよくば100%還元を狙おうという買い物客でごったがえしていました。

急転直下、PayPayを利用したクレジットカード不正使用が報じられたタイミングと前後して「100億円あげちゃうキャンペーン」も終了。マスコミやネットメディアで繰り返し問題点を指摘され、何らかの対応をせざるを得なくなった模様です。

クレジットカード不正使用に利用されたPayPayの穴 (対応済とのこと)

もともと流出していたクレジットカード番号を、第三者が自分のPayPayに登録してしまい、そのPayPayで買い物をしまくる、というのが件の不正使用の手口です。

つまり被害に遭った人はPayPayが世に出る以前からご自身のカード番号が何らかの経路で流出していた可能性が非常に高いことになります。

セキュリティコードがほぼ意味をなしていなかったのがPayPayのクレジットカード登録システムの最大の欠点でした。

何度セキュリティコードや有効期限を間違えてもクレジットカード側に警報も上げずロックもかからないという、性善説に基づいた設計になっていました。クレジットカード名義人の登録も必要なし。

どうやらこうしたガバガバな決済システムは他にもいくつかあるようなので、今回たまたまPayPayがターゲットにされた側面もあるのかも知れません。

つまるところは、流出した16桁のカード番号と有効期限さえあれば、総当たりで延々と再試行していつかは正しいセキュリティコードに行き着いて登録できてしまいました。

セキュリティコードは従来、磁気テープ部にも記録されておらずカード裏面にしか記載がないためスキミング対策として効果を発揮してきましたが、セキュリティコードの意味をなしていなかったのが問題点として取り上げられていました。

PayPayアプリのクレジットカード登録画面の修正点

入力回数制限を設けた

出典 : PayPayからのお知らせ

 

「PayPayアプリでクレジットカード情報を入力する際、入力回数に制限を設けました。」とあります。… だから何の入力回数制限なんだろう、と思いませんか?

確認するため、不正使用の件があって以来放置していたPayPayアプリを起動してみたところ強制的に以下の表示となり、アプリのアップデートなしでは決済に利用できなくなっています。

新機能の追加およびパフォーマンスを改善しました。」とのこと。さっきのお知らせと言っていることが違うのが引っ掛かりますが、早速PayPayアプリをアップデートして、どんな点が修正されているのかを検証してみました。

カード名義人確認はされないまま

手持ちのクレジットカード (Yahoo! JAPANカード JCB) を登録してみましたが、やはり本人確認においてクレジットカード名義人の確認は行われませんでした。

今までどおり、カード番号、有効期限、セキュリティコードの3点が一致していればPayPay残高不足時に決済に使用するクレジットカードとして登録可能です。

他に穴がないか検証してみた

クレジットカード情報の入力において「回数制限」を設けたとのことなので、さっそく試してみます。これが新機能とは片腹痛しと言いたくなるかも知れませんが、まあ置いといて・・・。

正しいクレジットカード番号(16桁) + 正しい有効期限 + 誤ったセキュリティコード

意図的に誤ったセキュリティコードを入力してみたところ、以下の画面が表示されました。

不正なカードを利用しようとして、セキュリティコードを総当たりしようとしても最大3回までしか失敗できません。

4回目の失敗で利用制限がかかると表示されています。

誤ったクレジットカード番号でも総当たりで正しい番号に行き着く?

自分のクレジットカード番号の末尾を1ずつ足していって、総当たりにクレジットカード番号が正しい番号かどうかを確認可能であるか否か、という点を試してみました。

結論から言えば、誤ったカード番号を何度登録しようとしても利用制限はかかりません。そのため、総当たりで利用可能なクレジットカード番号を強引に割り出すことは可能と思われます。もちろん、有効期限とセキュリティコードがこれで分かるわけではないので不正使用に即座に結びついたりはしません。それにカード番号をランダムに生成するプログラムを配布しているwebサイトもあることでしょう。PayPayとしてこの穴になり得るポイントを修正するという優先度は低かったものと思われます。

・・・しかし、最低限の対処さえすればいいや、という姿勢とも見られかねないのでやはり親が親なら子も子であると言わざるを得ません。

スポンサーリンク

正しいカード番号 + 誤った有効期限 + 正しい or 誤ったセキュリティコード

これを試してみましたが、先ほどと同様、「クレジットカードに問題があるようです。」のエラー画面が表示されるのみでした。「あと〇回失敗すると利用制限かけますよ」という旨のメッセージは出力されませんでしたので、恐らく有効期限も総当たりで割り出すことが可能と思われます。

「正しいカード番号 + 正しい有効期限 + 誤ったセキュリティコード」へ行き着いた場合は「あと〇回失敗すると利用制限」のエラーメッセージが表示されるためです。これが出た場合は有効期限が正しいという事になるかと思われます。

仮に「正しいクレジットカード番号 + 正しい有効期限」のペアに行き着いたところで、最後の難関、セキュリティコードが待ち構えています。

0.4%の確率でこれも突破されてしまいます。

  • 有効期限調査時のセキュリティコードが誤っている場合 … 000~999の1,000通りからこの番号を除外可能
  •  残り試行可能回数は3回のため、4回 / 1,000通り = 0.40%の確率で正解

今回の修正に関する結論

カード不正使用の可能性が激減したのは事実なので、評価できると言えば出来ますが当たり前のレベルに到達しただけと見られても仕方のないところかと思います。

特に、有効期限やカード番号そのものの誤登録に関して回数制限をかけないのはいかがなものかと思います。セキュリティコードの回数制限と同じ仕組みを使えばいいんでしょうから、少しの手間で「それなりにきちんと対処してきた」という評価を得られるチャンスだった気がするんですが。ここは手を抜いていいところなんでしょうか。。。

後述の、「カード決済利用上限額」なしでは万全の体制と言い難いかも。

クレジットカード決済上限額も設けた模様

唐突に、PayPayで支払いをする際にクレジット決済可能な上限を設けた模様です。

30日間で50,000円とこれまたかなり少額に絞ってきました。確かに不正使用でも5万円しか使えなければ万が一賠償になった場合でもダメージは小さいです。また、カード不正使用犯の方もリスクに比べてリターンが非常に小さいため、わざわざPayPayを狙って不正使用を行おうとしなくなることも期待できます。

もしかすると、今回のアプリアップデートによる「クレジットカード情報の登録試行回数制限」も付け焼刃でしかないとPayPay自身が認めているのかも知れませんね。

(追記) クレジットカード利用時の3Dセキュア対応 & 不正使用被害者への補償を表明

12月27日、PayPayは3Dセキュア (本人認証サービス) への対応とクレジットカード不正使用被害者への補償を行う旨を発表しました。

3Dセキュアはクレジットカード番号、有効期限、名義人氏名、セキュリティコードなどのクレジットカード上に記載がある情報とは別に、追加のIDやパスワードを利用してカード会員と発行元が相互に認証するための仕組みです。

[クレジットカード基礎知識] 3Dセキュアとは?あなたのクレジットカードを不正利用から守る鉄壁過ぎる仕組み!

「3Dセキュア」とはオンラインショッピング等、インターネット上の決済を安全に使うための強固な本人認証サービスです。今回は ...

続きを見る

上述した、クレジットカードによる決済上限額5万円、という施策は3Dセキュア対応完了まで継続される予定です。この時の発表では3Dセキュア対応は2019年1月に完了する見込みとのことです。

(追記その2) 3Dセキュア対応完了、クレジットカード決済限度額が25万円/30日に変更

2018年12月27日に表明していた、3Dセキュアへの対応が完了しました。

2019年1月21日以降、3Dセキュア対応クレジットカードをPayPay用に登録する場合、従来どおりクレジットカード番号、有効期限、セキュリティコードを登録した上で更に3Dセキュアによる追加パスワードなどの認証を行うことが可能になりました。従前と比較すると飛躍的にセキュリティ強度が向上したことになります。

やれば出来るなら初めからやっておけばいいのに、と思ったのは私だけでしょうか・・・。

また、不正利用を受けて制限していたクレジットカード決済可能な上限額を、暫定対策時の5万円/30日 → 25万円/30日 へと大きく引き上げました。上限額もユーザが任意の金額を選択できると良いのですが、システム改修が追いつかないのかな。ともかく、25万円まで利用可能になったため、大きな買い物にも再び使えるようになり利便性が元通りになったと言って良いでしょう。

関連記事 : 3Dセキュアって何のこと?という方はこちらを読んでみて下さい

おわりに

今回は、クレジットカード不正使用が騒がれた、スマホ決済サービス「PayPay (ペイペイ)」のアップデートに伴うクレジットカード登録画面における回数制限の詳細や、アップデート後に利用可能な穴があるのかを確認した簡単な検証と、恐らく暫定措置となるであろう、「30日間最大5万円」のカード決済上限額設置のお話でした。

最後までお読みくださりありがとうございました。

関連記事

当サイトで人気のクレジットカード

ライフカード年会費有料版(Ch)

審査が不安な方向けのライフカード登場!
他社でクレジットカードを作れなかった人、申し込む価値アリです。
・年会費5,000円+消費税
ライフカードの完全独自基準による寛容な審査。
「審査の通りやすさ」がウリ。
・お誕生月はポイント3倍!ポイントは各種ポイント、マイル、仮想通貨に交換可能

カード不正利用・紛失対応 〇
年会費ポイント還元
マイル換算
審査難易度国際ブランド
5,000円+消費税0.5%~1.5%
ANA 2.5~7.5マイル/1000円
★+
最短発行利用限度額サービス充実度お得度
一週間程度10万~30万円★★★★+★★★++

ANAアメリカン・エキスプレス®・カード

ANAマイルへ1:1交換できるポイントが貯まる、アメックス発行の提携カード。
各種プロテクション(不正利用補償・盗難/紛失補償)が付帯。
ANAマイルを無期限化することも可能!
入会ボーナスでANA1,000マイルプレゼント & ANA航空便搭乗でボーナスマイル+10%!
入会審査は寛容な模様 (現況重視)。
・国内空港ラウンジ … ○ (同伴者一名も無料利用可能)
年会費ポイント還元
マイル換算
審査難易度国際ブランド
7,000円(税別)1%
ANA1マイル/100円 
 ★★★
最短発行ステータス度サービス充実度お得度
通常1~3週間★★★★★★+★★★++

楽天カード

楽天カードマンでお馴染み、年会費無料の高還元率カード。最初の一枚におススメ。
・信用育成後は最大ショッピング枠最大300万円/キャッシング枠最大100万円
常時1%以上の還元率
・楽天市場で3%~還元!
年会費ポイント還元
マイル換算
審査難易度国際ブランド
永年無料1%~10%★★++
最短発行利用限度額サービス充実度お得度
一週間5万~100万円★★+★★★★

ライフカード

誕生月はポイント3倍!審査も緩めなお得カード!
年会費無料カードの中でもサービス充実
・貯まったポイントは各種ポイント、マイルや仮想通貨に交換可能
・年会費は永年無料
カード不正利用・紛失対応〇
海外旅行時のホテル・レストラン手配や病気・ケガの対応デスクサービス〇
審査はかなり寛容な部類。
・入会特典で最大15,000円分のポイントプレゼント!
年会費ポイント還元
マイル換算
審査難易度国際ブランド
永年無料0.5%~1.5%
ANA 2.5~7.5マイル/1000円
★★++
(有料版★+)
最短発行利用限度額サービス充実度お得度
最短3営業日10万~200万円★★★★++★★★++

VIASOカード

安心と信頼の銀行系ブランド、三菱UFJニコスによる年会費無料カード
・最短で翌営業日発行
国内/海外旅行保険(最大2,000万円)利用付帯
・たまったポイントは1ポイント1円で年一回オートキャッシュバック
・会員用ショッピングモール経由でのネットショッピングで最大10%還元
・ETCカード決済でポイント2倍
・大手携帯電話キャリア利用料金(NTTドコモ、au、Softbank、Y!Mobile)決済でポイント2倍
・大手プロバイダ利用料金(Yahoo! BB、@nifty、OCN、au one net、BIGLOBE、ODN)決済でポイント2倍
年会費ポイント還元
マイル換算
審査難易度国際ブランド
無料0.50%
5ポイント/1,000円
★★++
最短発行利用限度額サービス充実度お得度
最短1~2営業日10万~100万円★+ ~ ★★★★★★★

ビックカメラSuicaカード

Suicaが付帯する多機能高還元率カード!
Suicaチャージで1.5%還元
Suica, ビックカメラポイントカードをまとめてお財布をスリムに
ビックカメラでのSuica支払いで10%還元
年会費ポイント還元
マイル換算
審査難易度国際ブランド
初年度無料
翌年以降477円(税別)
※カード利用で翌年無料
 1.0%~1.5%★★++
最短発行利用限度額サービス充実度お得度
即日発行(店頭で仮カード発行)
通常約2週間
10万~80万円★★+★★★★

三井住友VISAクラシックカード

VISAカードの定番、銀行系プロパーカード!迷ったときはこれを作っておけばOK
・緊急時の対応に定評あり、学生の方や初心者におススメ
クレジットカードに必要な基本機能を一通り備えたカード
信頼と安心の銀行系プロパーカード
年会費ポイント還元
マイル換算
審査難易度国際ブランド
 初年度無料
翌年以降1,350円
0.5%~1.0%
ANA300~600マイル/10万円
★★★(一般)
★★++ (学生)
最短発行利用限度額サービス充実度お得度
3営業日10万~80万円★★★+★★★

dカード

ドコモユーザでなくても発行可能!作れば確実にお得、今や作らないのはもったいない
・ローソンでのお買物、5%還元!
・初年度年会費無料、翌年以降もカード利用があれば無料
・マツキヨ系列ドラッグストアでdポイント3倍!
・最短5分の超速審査!
・普段のお買物は1%還元
・ポイントは1ポイント単位で無駄なく利用可能!
年会費ポイント還元
マイル換算
審査難易度国際ブランド
初年度無料
翌年以降1,250円(税別)
 1.0%~4.0% ★★++
最短発行利用限度額サービス充実度お得度
即日審査完了(条件付き)10万~100万円★★★★+★★★★★+

Yahoo! JAPANカード

Tポイントがザクザクたまる高還元カード。最初の一枚におススメ!
通常1%ポイント還元
・Yahoo!ショッピングとLOHACOでTポイント3倍還元!
・Tカードとしても使えてお財布をスリムに
年会費ポイント還元
マイル換算
審査難易度国際ブランド
永年無料1.0%~3.0% ★★+
最短発行利用限度額サービス充実度お得度
通常1~2週間10万~100万円★★★★★★+

アメリカン・エキスプレス®・カード

海外旅行に強いアメックスの元祖、定番のT&Eカード。
各種プロテクション(不正利用補償・ショッピング返品保障・盗難/紛失補償)が充実。
海外旅行サポート … ○
・国内空港ラウンジ … ○ (同伴者一名も無料利用可能)
・海外空港ラウンジ … ○ (プライオリティパス、スタンダード付帯)
年会費ポイント還元
マイル換算
審査難易度国際ブランド
12,000円(税別)0.3%~1% (最大3.0%)
ANA1マイル/100円 
 ★★★+
最短発行ステータス度サービス充実度お得度
通常1~3週間★★★★★★★★★★★++

おすすめ記事

1

2018年8月現在の、日本国内の主要クレジットカードの審査難易度のランキングです!当サイト独自基準で作成しております。2 ...

2

2018年8月現在の日本国内の主要クレジットカードの審査難易度の一覧をランキング形式で公開いたします!先日公開した、「ラ ...

3

今回は反響の大きかった、「ライフカード有料版(Ch)」と一般のライフカードの違いについて、審査における違いや付帯特典の違 ...

4

今回はクレジットカードの基礎知識として、クレジットカード利用枠のメイン枠である「ショッピング枠」と「キャッシング枠」につ ...

5

今回は、クレジットカードに必ず載っている、「VISA」や「Mastercard」といったいわゆる「国際ブランド」と呼ばれ ...

6

今回は最近よく聞く、「共通ポイント」という言葉の意味や、日本国内で現在主流となっている共通ポイントについて解説します。 ...

7

今回は、2018年4月現在の主要なクレジットカードに特典として付帯してくる、海外旅行傷害保険・国内旅行傷害保険の一覧表を ...

-不正使用, 電子マネー(スマホ決済)
-,

Copyright© クレジットカード社会で生きるということ~生き残るためのお金の知識~ , 2019 All Rights Reserved.