('19/2/5追記) 第2弾キャンペーン開催が発表されました!
PayPay、第2弾100億円キャンペーンを2/12に開始!第1弾と何が違う?
スマホ決済サービスPayPay (ペイペイ) の第2弾 100億円キャンペーン、本記事では第1弾との違いについて解説しま ...
続きを見る
今回はクレジットカード不正使用の騒動の原因になったPayPayの問題点と、その対応としての修正についての情報をお伝えします。
100億円還元キャンペーンからクレジットカード不正使用で世を騒がせたスマホ決済サービス、「PayPay」(ペイペイ)。当初は利用金額の20%還元、さらに運が良ければその決済で支払った金額の全額をPayPayボーナスとして還元するという、ソフトバンクグループという巨大企業の体力にものを言わせるかのごとき高還元キャンペーンが人気を呼びました。週末の秋葉原などでは高級品をPayPayで購入して20%、あわよくば100%還元を狙おうという買い物客でごったがえしていました。
急転直下、PayPayを利用したクレジットカード不正使用が報じられたタイミングと前後して「100億円あげちゃうキャンペーン」も終了。マスコミやネットメディアで繰り返し問題点を指摘され、何らかの対応をせざるを得なくなった模様です。
クレジットカード不正使用に利用されたPayPayの穴 (対応済とのこと)
もともと流出していたクレジットカード番号を、第三者が自分のPayPayに登録してしまい、そのPayPayで買い物をしまくる、というのが件の不正使用の手口です。
つまり被害に遭った人はPayPayが世に出る以前からご自身のカード番号が何らかの経路で流出していた可能性が非常に高いことになります。
セキュリティコードがほぼ意味をなしていなかったのがPayPayのクレジットカード登録システムの最大の欠点でした。
何度セキュリティコードや有効期限を間違えてもクレジットカード側に警報も上げずロックもかからないという、性善説に基づいた設計になっていました。クレジットカード名義人の登録も必要なし。
どうやらこうしたガバガバな決済システムは他にもいくつかあるようなので、今回たまたまPayPayがターゲットにされた側面もあるのかも知れません。
つまるところは、流出した16桁のカード番号と有効期限さえあれば、総当たりで延々と再試行していつかは正しいセキュリティコードに行き着いて登録できてしまいました。
セキュリティコードは従来、磁気テープ部にも記録されておらずカード裏面にしか記載がないためスキミング対策として効果を発揮してきましたが、セキュリティコードの意味をなしていなかったのが問題点として取り上げられていました。
PayPayアプリのクレジットカード登録画面の修正点
入力回数制限を設けた
出典 : PayPayからのお知らせ
「PayPayアプリでクレジットカード情報を入力する際、入力回数に制限を設けました。」とあります。… だから何の入力回数制限なんだろう、と思いませんか?
確認するため、不正使用の件があって以来放置していたPayPayアプリを起動してみたところ強制的に以下の表示となり、アプリのアップデートなしでは決済に利用できなくなっています。
「新機能の追加およびパフォーマンスを改善しました。」とのこと。さっきのお知らせと言っていることが違うのが引っ掛かりますが、早速PayPayアプリをアップデートして、どんな点が修正されているのかを検証してみました。
カード名義人確認はされないまま
手持ちのクレジットカード (Yahoo! JAPANカード JCB) を登録してみましたが、やはり本人確認においてクレジットカード名義人の確認は行われませんでした。
今までどおり、カード番号、有効期限、セキュリティコードの3点が一致していればPayPay残高不足時に決済に使用するクレジットカードとして登録可能です。
他に穴がないか検証してみた
クレジットカード情報の入力において「回数制限」を設けたとのことなので、さっそく試してみます。これが新機能とは片腹痛しと言いたくなるかも知れませんが、まあ置いといて・・・。
正しいクレジットカード番号(16桁) + 正しい有効期限 + 誤ったセキュリティコード
意図的に誤ったセキュリティコードを入力してみたところ、以下の画面が表示されました。
不正なカードを利用しようとして、セキュリティコードを総当たりしようとしても最大3回までしか失敗できません。
4回目の失敗で利用制限がかかると表示されています。
誤ったクレジットカード番号でも総当たりで正しい番号に行き着く?
自分のクレジットカード番号の末尾を1ずつ足していって、総当たりにクレジットカード番号が正しい番号かどうかを確認可能であるか否か、という点を試してみました。
結論から言えば、誤ったカード番号を何度登録しようとしても利用制限はかかりません。そのため、総当たりで利用可能なクレジットカード番号を強引に割り出すことは可能と思われます。もちろん、有効期限とセキュリティコードがこれで分かるわけではないので不正使用に即座に結びついたりはしません。それにカード番号をランダムに生成するプログラムを配布しているwebサイトもあることでしょう。PayPayとしてこの穴になり得るポイントを修正するという優先度は低かったものと思われます。
・・・しかし、最低限の対処さえすればいいや、という姿勢とも見られかねないのでやはり親が親なら子も子であると言わざるを得ません。
スポンサーリンク
正しいカード番号 + 誤った有効期限 + 正しい or 誤ったセキュリティコード
これを試してみましたが、先ほどと同様、「クレジットカードに問題があるようです。」のエラー画面が表示されるのみでした。「あと〇回失敗すると利用制限かけますよ」という旨のメッセージは出力されませんでしたので、恐らく有効期限も総当たりで割り出すことが可能と思われます。
「正しいカード番号 + 正しい有効期限 + 誤ったセキュリティコード」へ行き着いた場合は「あと〇回失敗すると利用制限」のエラーメッセージが表示されるためです。これが出た場合は有効期限が正しいという事になるかと思われます。
仮に「正しいクレジットカード番号 + 正しい有効期限」のペアに行き着いたところで、最後の難関、セキュリティコードが待ち構えています。
0.4%の確率でこれも突破されてしまいます。
- 有効期限調査時のセキュリティコードが誤っている場合 … 000~999の1,000通りからこの番号を除外可能
- 残り試行可能回数は3回のため、4回 / 1,000通り = 0.40%の確率で正解
今回の修正に関する結論
カード不正使用の可能性が激減したのは事実なので、評価できると言えば出来ますが当たり前のレベルに到達しただけと見られても仕方のないところかと思います。
特に、有効期限やカード番号そのものの誤登録に関して回数制限をかけないのはいかがなものかと思います。セキュリティコードの回数制限と同じ仕組みを使えばいいんでしょうから、少しの手間で「それなりにきちんと対処してきた」という評価を得られるチャンスだった気がするんですが。ここは手を抜いていいところなんでしょうか。。。
後述の、「カード決済利用上限額」なしでは万全の体制と言い難いかも。
クレジットカード決済上限額も設けた模様
唐突に、PayPayで支払いをする際にクレジット決済可能な上限を設けた模様です。
30日間で50,000円とこれまたかなり少額に絞ってきました。確かに不正使用でも5万円しか使えなければ万が一賠償になった場合でもダメージは小さいです。また、カード不正使用犯の方もリスクに比べてリターンが非常に小さいため、わざわざPayPayを狙って不正使用を行おうとしなくなることも期待できます。
もしかすると、今回のアプリアップデートによる「クレジットカード情報の登録試行回数制限」も付け焼刃でしかないとPayPay自身が認めているのかも知れませんね。
(追記) クレジットカード利用時の3Dセキュア対応 & 不正使用被害者への補償を表明
12月27日、PayPayは3Dセキュア (本人認証サービス) への対応とクレジットカード不正使用被害者への補償を行う旨を発表しました。
3Dセキュアはクレジットカード番号、有効期限、名義人氏名、セキュリティコードなどのクレジットカード上に記載がある情報とは別に、追加のIDやパスワードを利用してカード会員と発行元が相互に認証するための仕組みです。
[クレジットカード基礎知識] 3Dセキュアとは?あなたのクレジットカードを不正利用から守る鉄壁過ぎる仕組み!
「3Dセキュア」とはオンラインショッピング等、インターネット上の決済を安全に使うための強固な本人認証サービスです。今回は ...
続きを見る
上述した、クレジットカードによる決済上限額5万円、という施策は3Dセキュア対応完了まで継続される予定です。この時の発表では3Dセキュア対応は2019年1月に完了する見込みとのことです。
(追記その2) 3Dセキュア対応完了、クレジットカード決済限度額が25万円/30日に変更
2018年12月27日に表明していた、3Dセキュアへの対応が完了しました。
2019年1月21日以降、3Dセキュア対応クレジットカードをPayPay用に登録する場合、従来どおりクレジットカード番号、有効期限、セキュリティコードを登録した上で更に3Dセキュアによる追加パスワードなどの認証を行うことが可能になりました。従前と比較すると飛躍的にセキュリティ強度が向上したことになります。
やれば出来るなら初めからやっておけばいいのに、と思ったのは私だけでしょうか・・・。
また、不正利用を受けて制限していたクレジットカード決済可能な上限額を、暫定対策時の5万円/30日 → 25万円/30日 へと大きく引き上げました。上限額もユーザが任意の金額を選択できると良いのですが、システム改修が追いつかないのかな。ともかく、25万円まで利用可能になったため、大きな買い物にも再び使えるようになり利便性が元通りになったと言って良いでしょう。
関連記事 : 3Dセキュアって何のこと?という方はこちらを読んでみて下さい 「3Dセキュア」とはオンラインショッピング等、インターネット上の決済を安全に使うための強固な本人認証サービスです。今回は ... 続きを見る
[クレジットカード基礎知識] 3Dセキュアとは?あなたのクレジットカードを不正利用から守る鉄壁過ぎる仕組み!
おわりに
今回は、クレジットカード不正使用が騒がれた、スマホ決済サービス「PayPay (ペイペイ)」のアップデートに伴うクレジットカード登録画面における回数制限の詳細や、アップデート後に利用可能な穴があるのかを確認した簡単な検証と、恐らく暫定措置となるであろう、「30日間最大5万円」のカード決済上限額設置のお話でした。
最後までお読みくださりありがとうございました。