TVではまだ大きなニュースになっていませんが、PayPayのセキュリティの甘さを利用したクレジットカード不正利用詐欺報告がSNSやインターネットニュースで話題となっています。速報時から時間が経ち、具体的なセキュリティの甘さ・問題点が浮かび上がってきました。報告します。
先日、速報としてPayPayでクレカ不正利用が発生していることを別記事でお伝えしました。
paypayでクレジットカード不正利用・詐欺による被害報告多発まとめ!セキュリティは安全なのか - おうちクエスト
速報からある程度の時間が経過し、実際に被害に合われた方々から具体的な報告もいくつか挙がるようになっています。
PayPay公式サイトでも「よくある質問」で不正利用に関するページが設置されました。
PayPay-Help クレジットカードに利用した覚えのないPayPayからの請求がきた
PayPayの不正利用の手口 登録時・支払時のセキュリティが甘い
今回のPayPay経由のクレカ不正利用で恐ろしい点は、PayPayに登録したことが無い人でも、どこかで漏れたクレカ情報を使われて、悪意のある第三者に勝手にPayPayの登録をされる・クレカで買いものをされてしまうという点です。
Twitter上でも自分ではPayPayの登録すらしていないのに不正利用されたとの声が多数上がっています。
paypay使いましたかー?てカード会社のセキュリティから電話きた😱paypayは登録すらしてないので完全に不正利用だ‼️🤮🤮🤮昨日コンビニで2万円使われて、今日も2万円使われたところでカード会社がブロックしたらしい。メインで使ってるカードじゃなくてよかった〜。paypayどうなっとん⁉️
— 坂本渉太 (@shotasakamoto) 2018年12月11日
そして漏れたクレジットカード宛に、あとで多額の請求が来るというものです。
PayPayの支払い設定はクレカの基本情報だけでOK。
- クレジットカード番号
- 有効期限
- セキュリティコード
認証コードやパスワードの入力は登録時・支払い時も不要。手間がかからず簡単とはいえ、逆にセキュリティが甘くなっています。
クレジットカード番号とセキュリティコードの入力が無限に試せるとの報告も
そもそも登録時の大きな穴として、クレジットカード番号とセキュリティコードの入力が永遠と試せることに問題があると指摘の声が上がっています(実際にセキュリティコードを10回間違えたがロックはかかならかったとの報告有り)。
金融系システムでは不正利用を考慮し、クレカの入力を数回間違えると顧客資産保護のためにアカウントがロックされるなどの仕組みを取り入れているケースが多いのですが、PayPayにはなさそう。悪意のある第三者がセキュリティコードを総当たり攻撃することが可能な状態とのこと。
同一クレジットカードを複数アカウントに登録できてしまうとの報告も
また、同一クレジットカードを複数アカウントに登録できてしまうという甘い仕様となっているとの報告も。登録済みのクレカ情報が再登録されそうになったらエラーとなる・ロックがかかる、本人にメールで通知するなどの仕組みが欲しいところですね。
自分のクレジットカードの利用明細をチェックしよう
PayPayで利用可能なクレジットカードの種類は以下の3つです。
- JCB(ただしyahooカード限定)
- VISA
- MasterCard
JCBはYahooカード限定なので、対象者は限られると思います。VISAやMasterCard利用者は今回の不正利用のターゲットになる可能性があります。
PayPayを登録・利用していなくても悪意のある第三者に不正利用されている可能性があります。不安な人は利用明細をチェックしましょう!
「PayPay使わなくてよかったー!」なんて安心はできないということです。
もし被害に遭っていたら
すぐにカード会社に連絡しましょう。クレカの裏面に電話番号が記載されています。被害から日数が大きく経過すると保証が難しくケースもあります。調査に時間がかかることも想定されますし、できるだけ早めの対応をしましょう!
2018/12/21追記:不正利用対策としてクレカ決済に月5万円までの上限が(暫定措置として)設定されました。
paypayが不正対策でクレカ決済に上限設定!月に使えるのは5万円まで!使い勝手悪くない?
以上、PayPayのクレカ不正利用はセキュリティの甘さから未登録者もターゲットに!VISA・MasterCard利用者は口座確認すべし!...という話題でした。
ではまた (*´ω`)ノ
