PayPayのやらかしについてまとめてみた

技術ネタ
2018-12-28
この記事は約5分で読めます。

すこし落ち着いてきましたが、PayPayのやらかした問題についてまとめました。

この問題、既にSoftBankだけではどうにもならない事態に発展してます。
また、PayPayを使ってない方にも影響のある話なので読んでいただければと思います。

スポンサーリンク

経緯

PayPayはSoftBankが展開したバーコード決済サービス。
類似サービスでは楽天の楽天Pay、LINEのLINE PAYなどのが馴染みがある方が多いかもです

少し前に100億ばら撒きます!ということで、購入時に20%還元、運が良ければ全額還元というキャンペーンを展開しました。

そのキャンペーンも10日で終了するなど、ちょっと雲行きが怪しくなった直後・・・

「PayPayを利用していたら、使っていないのに請求がきた!!」

ここから、炎上が始まった・・・

Webでのクレジットカードの仕組み

ネットショッピングなどでクレジットカードを利用する場合は、「クレジットカード番号」と「カードの名義」「有効期限」そして「セキュリティコード」が必要です。

カード番号や名義、有効期限などはシステムのバックエンドで保管したりします。
都度入力してもらうのはユーザの手間を増やしてしまうので。

しかし、セキュリティコードは本来は最初にクレジットカードが有効なのかを判断したら保管はしません。

今回起きた問題

丁度キャンペーンが終わる頃に、クレジットカードの不正利用が相次いで起こりました。
どうやらPayPayを使った人たちのクレジットカード情報が漏れてるんじゃないかという話が持ち上がる。

しかし、実態としてはPayPayの持ってるクレジットカード情報が漏れたのではなくPayPayは答え合わせに利用されたのではないか?という話題になった。

利用されたと言っても、本来やるべきレベルのセキュリティを怠ったのが問題なので責任はSB側にあるんじゃないかと思う。

根本の問題

原因としては、PayPayにクレジットカードを登録する際、セキュリティコードの入力を何度間違えてもなにも起きなかったこと。

ということは何回失敗しても大丈夫。
何度でも入力できてしまうということは、総当たりで認証突破が可能ということ。

つまり、他人名義のクレジットカードの番号と有効期限を知っていた場合に不正利用ができる状況だったということになる。

セキュリティコードの総当たりなんて、そんな難しくない。
VISAやMastercardなんかは3桁だし、AMEXでも4桁。

これが突破されてしまうと、別にPayPayじゃなくても他のオンラインショッピングサイトクレジットカード情報として使えてしまう。

こうなると、該当のクレジットカード保有者がPayPayを使っているかどうかは関係なくなってくる。
こうなるともうSoftBankだけではどうにもならない。

SBの対応

https://support.paypay.ne.jp/consumer/s/article/10003
support.paypay.ne.jp

CVCの入力間違いが規定数を超えると、アカウントにロックが掛かる仕組みなったっぽい。
これで、一応今後の被害は多少抑えられる。

といっても、まだ応急処置レベル

PayPay、不正利用の返金は自社で「全額補償」と発表 ── 原因はセキュリティーコードの総当たり「ではなかった」
スマートフォン決済の「PayPay」は、同社サービス内で発生しているクレジットカードの不正利用について調査状況の発表と今後の対策予定を発表した。
www.businessinsider.jp

12/27に新たに発表された内容では、一応カード会社からの不正利用申請があった場合は「弊社が不正利用の返金額全額を補償いたします」と回答している。

一応、PayPayで20回以上のCVC入力があったのは13件PayPayでの利用があった9件は本人と断定できているらしい。
なので、今回の原因はCVCアタックじゃないんじゃね?ってところになってる模様。

「悪意ある第三者が何らかの方法で、外部で入手したセキュリティコードを含む
クレジットカード情報が利用されたことである可能性が高い」

この発言は大丈夫なのか・・・?w
CVCアタックじゃなくて、全部漏れてる情報を使われたんだよ!って言ってるように見えるけど、そもそもどこから漏れてるかも、PayPayから漏れてないとも明記されてない。

CVCアタックの可能性薄いけど、不正利用されてる原因はわっかんね/(^o^)\

というようにも受け取れる。

3Dセキュアの対応

3Dセキュア - Wikipedia
ja.wikipedia.org

「クレジットカード番号」、「カードの名義」、「有効期限」、「セキュリティコード」、これに加えて「パスワード」も設定しようという試み。

ただ、クレジットカード発行元が用意しているサイトで設定する場合が多いためすべてのクレジットカードが対応しているわけでもない

あと、PayPayが3Dセキュアを導入して防げるのは”支払い”のみであって、カード情報が漏れた場合はそのカードを使われる先が3Dセキュア未対応だと無意味です。

まとめ

個人的にはキャッシュレスに進んで行ってほしいなかで、このお粗末な事件はちょっと残念。

あと今回のことで見直したほうがよいのはクレジットカードのセキュリティじゃないでしょうか・・・
これだけネットショッピングが当たり前のように出来るようになってきてるなか、もはやセキュリティコードが数字のみで3桁とか4桁とかでは何のセキュリティにもならない気がする。

ネット決済において気付きが多い事件でしたが、SoftBankの対応が全体的にお粗末だったので個人的にはもうPayPayを使うことはないかなーって思ってます。

ぶっちゃけLINE Pay使ってたら要らないのと、他にも決済アプリが増えてきてるのでよほどのことがなければ使わんですよ。
もうすこし、紳士的な対応すれば戻ってくる人も増えたんじゃないですかね・・・

スポンサーリンク

コメント