Sponsored Contents

paypayの最新記事

Image credit:
Save

PayPayに強制アプデ、「クレカ不正利用」で総当たり防ぐ対策導入(石野純也)

他のスマホ決済はどうなのか

石野純也 (Junya Ishino)
2018年12月18日, 午後04:50 in paypay
492シェア
213
229
0
50

連載

注目記事

Netflix「ライバルはフォートナイト。すでに負けている」と発言。TV画面の奪い合い激化

Netflix「ライバルはフォートナイト。すでに負けている」と発言。TV画面の奪い合い激化

View

クレジットカードの不正利用が相次ぎ、100億円還元のお祭ムードから一転、一気に社会問題化の様相を呈しているPayPayですが、本日、アプリにアップデートがかかりました。アプリ側で最新バージョンかどうかのチェックがされているようで、アップデートなしでは利用できないようになっています。これは、いわば強制アップデートで、緊急性の高さが伺えます。

engadget
▲PayPayアプリに強制アップデートがかかった

PayPay広報部によると、今回のアップデートには、いくつかの要素があるとのこと。その中の1つとして、「クレジットカードのセキュリティコードを何回も入れられることに対しても制限をかけた」(広報)といいます。本当に対策が入ったのかどうか、筆者がわざと何回か間違ったセキュリティコードを入力してみたところ、正しい番号を入れても、そのクレジットカードが弾かれるようになってしまいました。アカウントにロックがかかったりするのではなく、そのクレジットカード番号自体が使えなくなるという仕様のようです。

engadget
▲アップデートの詳細は伏せられているが、PayPayによると、セキュリティコードの試行回数に制限を設けたという

engadget
▲複数回セキュリティコードをわざと間違えたところ、そのカードが登録できなくなった

そもそも、なぜPayPayでクレジットカードが不正利用された可能性があるかというと、登録時の仕様に抜けがあったからにほかなりません。話を整理しておくと、まず「PayPay自体からカード情報が流出したわけではない」(広報部)という点は押さえておいた方がいいでしょう。今回のトラブルはその逆で、不正に入手されたクレジットカード情報がPayPayに登録されてしまったのが原因と考えられます。

ただ、この場合、PayPayのアカウントを持たないユーザーにまで被害が広がってしまうおそれがあり、むしろ対象がより拡大する可能性があります。VISAやMastercardなど、PayPayに登録可能なクレジットカードを持つすべてのユーザーが対象になってしまうからです。「自分はPayPay祭に参加しなかったから大丈夫」というわけではなく、対象となるユーザーはWebなどで明細を改めて確認してみる必要がありそうです。

engadget
▲PayPay祭に参加しなかったクレジットカード利用者も被害にあう可能性が

PayPayそのものにあった"穴"とは、すでに明らかになっているように、クレジットカードの登録を、無制限に試行できた仕様のことを指します。登録はクレジットカード番号と有効期限、セキュリティコードの3つがあればできますが、以前のバージョンでは、ランダムにこれらを作って有効なものに当たるまで試せてしまったというわけです。

とはいえ、これだと組み合わせもかなり数に上るため、不正利用をする側の効率はあまりよくありません。おそらくですが、すでに流出しているクレジットカード番号や有効期限を使い、セキュリティコードのみを総当たりで突破したと考えるのが現実的です。

engadget
▲セキュリティコードを総当たりされた可能性が

仮にセキュリティコード以外のクレジットカード情報が盗まれたとしても、物理的なカードがないため、基本的には店舗では利用できません。ネットショップで使おうとしても、セキュリティコードを何度も誤入力すると、決済がストップしてしまい、不正も発覚しやすくなります。もちろん、チェックが甘いほかの加盟店でも不正利用は起こりえますが、ここまで大騒動に発展したのは、PayPayだと、1カ所突破できてしまうだけで、幅広い場所で使えてしまうからにほかなりません。決済を扱うサービスとしては、セキュリティが甘すぎたといえるでしょう。

厄介なのが、「PayPay側にくる決済データは、正しく処理されたものとして上ってきてしまう」(広報部)ところです。つまり、加盟店はもちろん、PayPayにもそのクレジットカードが本当にユーザーのものなのかは、確認できていないということ。登録時に氏名などの照合を取った方がいい気もしますが、現状では、その処理が不正だったかどうかは、クレジットカード会社しか判断ができません。不正利用と思われる決済があった場合、クレジットカード会社に問い合わせるよう呼び掛けているのはそのためですが、ユーザーとしては釈然としないところがあります。

そもそも、PayPayは100億円を投じたキャンペーンの発表会で、大量のトランザクション処理や、セキュリティに強みがあると語っていました。PayPayは、インドの決済大手で、ソフトバンクビジョンファンドの投資先でもあるPaytmと技術提携しているのが特徴で、「Paytmのあらゆる技術を取り入れて開発しており、PayPayはどんどん進化している」(代表取締役社長執行役員CEO 中山一郎氏)とうたわれていたほどです。

engadget
▲Paytmとの技術提携による「セキュリティ」の高さが、売りの1つだった

ところが、ふたをあけてみると、100億円あげちゃうキャンペーンの負荷に耐えられず、サービスは何度もダウンしてしまう始末。挙句の果てに、クレジットカードの登録にセキュリティ的な制限もなかったとなると、Paytmの技術とは一体なんだったのかという話にもなりかねません。

インドで長年サービスを展開してきたPaytmを加えた座組だからこそ、「成功例だけでなく、失敗例も知っている。それをやらなくていいのは大きなアドバンテージ」(同)だと語っていましたが、この様子だと、本当に失敗例から学んだのかが疑わしくなってきます。

engadget
▲キャンペーン中は、システムダウンも相次いだ。スケーラビリティとは一体......

他のスマホ決済はどうか

なお、競合となるLINE Payでは、そもそもクレジットカードからのチャージができず、ダイレクトにクレジットカードを利用する場合には3Dセキュアの認証を通す必要があります。ドコモのd払いも同様です。また、楽天Payでもわざとセキュリティコードを間違えてみたところ、3回でロックがかかり、一定時間登録を受け付けないアラートが表示されました。競合の仕様を見ても、PayPayのセキュリティはザルだったことが分かります。

engadget
▲LINE Payはクレジットカードを利用する場合、3Dセキュアで認証する必要がある。

engadget
▲楽天Payは、セキュリティコードに3回失敗した時点でエラーが出た

とはいえ、今回の事態は、せっかく盛り上がってきたQRコード決済に冷や水をかぶせることにもなりかねません。100億円キャンペーンでこの市場を大いに盛り上げたのは、ほかでもないPayPayですが、自らその火を消すことになりかねないのは残念。市場拡大を急ぐ気持ちは分かりますが、決済はインフラともいえる分野なだけに、もう少し慎重さも持って事業を運営してほしいところです。


関連キーワード: fintech, payment, payments, paypay, softbank, yahoo
492シェア
213
229
0
50

Sponsored Contents