PayPayが行政指導を受けるべき、いくつかの理由。未契約者も含め、凄まじい数のカードが危機に晒された

ブログ

 

 

 

(OGP画像)

 

 

 

↓今日は何位でしょう?読み進む前にチェック。↓
↓記事が気に入ったらFBのイイネ・ツイート等もお願いします。↓

バナーが表示されない方は、こちらをクリック願いします。(同じものです。)

 

 

 

PayPayにおいて個人情報が流出した、という言い方は適切ではない。
正しくは、PayPayの有り得ない仕様ゆえに「様々なクレジットカードの情報が流出した」という表現だろう。カード番号と3桁のセキュリティーコードがセットで流れた可能性が高い。

昨日、リトライ回数に上限が設けられたが、言い換えれば「それまでは無制限だった」と完全に認めたこととなる。ネット決済などをはじめ、「?カード番号」 + 「?セキュリティーコード」で認証してきたわけだが、僅か3桁である。001?999の千通りしかなく、仮に手動であれ難なく突破されるだろう。

携帯番号とカード情報が紐付けで流れておれば「PayPayを悪用」すれば、セキュリティーコードの検証ができてしまう。何回でも入力できるため、カード券面にしか記されていないはずの3桁の数字がばれてしまうわけだ。

貴方のキャッシュカードが拾われ、ATMで口座の暗証番号が入力されている状況を想像して欲しい。
一定数の誤入力があればロックされるものだが、何回間違えてもロックされない。総当たりでやれば、やがては割られる。しかも3桁。

何パターンかに分けて、不正の状況を考えてみる。
一つ目には、第三者が勝手に登録して、勝手に買い物されるというもの。不正に入手されたカード番号を用いて、(貴方ではない誰かが)PayPayに登録するというもの。驚くべきことに氏名は不要であるため、携帯とカード番号だけでいい。セキュリティーコードは3桁ゆえ、凄まじいプログラム技術などなくても問題ない。手動でも破れる桁数なのだから。
貴方が登録していなくても、PayPayに勝手に登録され、買い物をされてしまうという問題。

二つ目の悪用方法。
こちらのほうがより深刻だ。PayPayでの決済は行わず、セキュリティーコードのみを入手する。総当たりで、セキュリティーコードとカード番号の紐付けを行うためだけにPayPayを悪用するというもの。そして、得られたセキュリティーコードを用いて、ネットショッピング等で換金性の高い商品を購入、転売などで現金化するという方法も想定される。また、カード番号+セキュリティーコードを紐付けたデータそのものを売る可能性だってある。

三つ目の問題点。
実は、カード番号そのものを知ることもできたのではないか。
カード番号がわかればという前提で、一つ目二つ目の問題点を書いたが、カード番号を知らなくても上記はやれてしまう気がする。ここは、ちょっと詳しく書いてみたい。

セキュリティー上の問題では、氏名の入力が不要であったことが致命的だったと認識しているが、実は名前とは高い識別性を持つ。カード番号にしても、携帯番号にしても、またセキュリティーコードにしても「ただの数字」である。0?9の10パターンしかない。名前は、アルファベットであれ仮名であれ、高いセキュリティーを発揮する。漢字であればなおさらだ。かつ、住所があればなおさら強固。今回、これらは不要であったため、「数字で表記できるもの」で済んだ。

実在の携帯番号さえわかれば。
クレジットカード番号を入力し、セキュリティーコードを総当たりで割る。実は、カード番号すらも総当たりできてしまうわけで、カード情報が流出していなかったとしても「悪用される危険性」は排除できない。極論すれば、ネット上で一度も使ったことがないカード番号であってもリスクを内包するわけだ。これが可能であったならば、凄まじい衝撃だ。

 

AMEXとJCBは対象外だったようだ。(ただし、JCBのyahooカードは除く。)
また、dポイントやauのカード等、他キャリアのものは弾いていた模様。ソフトバンクとyahooのシステムゆえ当然と言えば当然だが、ユーザーの囲い込み対策なのだろう。
だが、それ以外のカードは、どれが不正にあっているのかわからない。

いま悪用されていなくても、セキュリティーコードが抜けた可能性は誰も否定できない。

 

カード会社は、膨大な数のクレジットカードを再発行せねばならないだろう。

再発行だけで済めばいいが、ブランドとしては大ダメージだ。
VISA・マスターの国際ブランドがサポートしていたが、再発行の規模は凄まじい規模になるのではないか。

 

(カード会社の)顧客側にもかなりの手間がかかる。
家賃であったり携帯であったり、もしくは様々な公共料金であったり、多くの支払いをカードで行っている方もいる。
再発行すればカード番号が変わるため、全部やり直すしかない。

 

給料を電子マネーで払うとか、もう何を考えているのか、正直わけがわからない。
安易なキャッシュレス化には反対の立場だけれども、カード決済もインフラ化していることは事実だ。

そもそもセキュリティーコードが僅か3桁で破れてしまうことにも言いたいことはあるが、
利便性と言うか、サービスを利用する際には人力で手動入力が求められるため、無尽蔵に桁数をあげていけばいいというものでもない。
簡便に利用できることはビジネス上のプラスであることは間違いなく、ゆえにこういう仕様なのだろう。

 

問題は、それが丸ごと流出した危険性があること。
その可能性が排除できない状態にあることが問題だと思います。

 

 

 

(被害額について)
不正利用があった場合には、カード会社が一時的に負担することとなろうかと思う。
商品を渡していたり、もしくは何がしかのサービスを提供をしている以上、店舗側には支払われるべきだろう。

ただし、本人確認が求められていた一定額以上の決済(3万円以上かと思う)であれば、
その確認を怠っていたとして、店舗も一部を負担させられる、または決済を受けられない可能性はある。

カード会社の負担については、一時的という言葉を用いた。
通常であれば、カード会社の負担だけで終わる話であるが、今回はPayPay側の仕様が余りに酷いため、カード会社から請求(状況によっては訴訟)がなされるように思う。

 

(不正利用されたされた詐欺)
本当はPayPayを利用し、自らが商品を購入したにも関わらず、「不正利用された」と騒ぐ詐欺も起きそうだ。
氏名の入力がなかったため、本人確認と言っても限界があるわけで、(実際には不正利用はされていないにも関わらず)不正利用を訴えて踏み倒す者も出てくるのではないか。
PayPay側では立証のしようもないし、店舗側で全員の顔写真を撮っている(防犯カメラに映るなど)とは思えない。

 

 

上記も問題だが、最大の問題は、カード番号+セキュリティーコードが紐付けされた状態で流出した危険性だと思う。

登録していない者までリスクに晒されており、その危険が排除できない以上、履歴を調べる・カードを再発行するぐらいしか自己防衛の方法が思いつかない。
(もしくはカード事態を廃止するだが、職業や生活環境によっては選択不可能だろう。)

 

 

 

PayPayに対して、即時に行政指導を入れて頂きたい。

 

理由は、PayPayとは無関係のカード決済までもが

 

多大な危険にさらされているため。

 

金融庁になるかと思うが、即応して頂きたい。

 

また、カードを使っている方、持っている方は、

 

自己防衛として不正利用がなされていないか確認し、

 

ご面倒ではありますが、カード番号を変えるしかないと思う。(JCBとamexを除く。yahooカードは対象。)

 

この問題は、結構、厄介だと思う。

 

リスクを周知するために、拡散をお願いします。

 

 

 

一歩、前に出る勇気。
↓応援クリックお願いします。↓


バナーが表示されない方は、こちらをクリック願いします。(同じものです。)
【支援要請】戦うための、武器をください。

 

<重要>ブックマークをお願いします。
特にFacebookから閲覧してくださっている方にお願いなのですが、一週間の停止を受けました。
次は30日の停止と想定され、更新のお知らせが大きく滞る可能性があります。

【実例】Facebookでアカウント停止。これもアウトなの?【驚いた人はシェア】

 

 

重要
せめて一度は、この「音」を聴いておいてください。

・ミサイル攻撃時の、J-ALERTの音源
・【マニュアル】武力攻撃やテロなどから身を守るために(内閣官房)

 

テロに屈したと全国から批判された決議に賛同した者(敬称略)
桜の会(議長会派):小原義和(公明)、西岡淳輔(公明)、(死没のため略)
市民の会(いわゆる野党会派):藤木巧一、二保茂則、鳥井田幸生、大池啓勝、工藤政宏、瓦川由美、西本国治
共産党会派:?永克子(共産)田中次子(共産)

 

詳しくはこちら。

 

私なりのケジメ

【爆破予告】テロに屈した議会に討ち入り。忠臣蔵、切腹の美学。地方議員の覚悟【テロに屈しない人はシェア】

 

 

コメント (頂いたご意見は、他SNSに比較し最優先で目を通しております。)

  1. medakanoon より:

    PayPayが行政指導を受けるべき、いくつかの理由。未契約者も含め、凄まじい数のカードが危機に晒された (OGP画像)       ↓今日は何位でしょう?読み進む前にチェック。↓ ↓記事が気に入ったらFBのイイネ・ツイート等

  2. じた より:

    「恐怖におののいた一般の利用者」が、クレジット会社に対して、費用は会社持ちで新カードに更新してもらえないか問い合わせるのも良いかも。
    だって、今現在被害にあってなくても、paypay経由じゃなくても、この先、ある日突然、世界のどこかで不正利用される可能性があるんですよね?

    手数料が必要です
    → こちらの手落ちじゃないですよね?
    無料じゃ無理
    → JCBは大丈夫らしいですよね。ちょっと考えます。

    もっと軽めの問い合わせはしたのですが、よくよく考えたら、事態はものすごく深刻ですね。

  3. じた より:

    連投失礼。

    中国によるサイバー金融テロの可能性もなくはない気が。

    以前の2chへのサイバー攻撃の時も、自分で攻撃するのではなく、ツールを撒いて不特定多数の愉快犯を煽り、そいつらに実行させるという手法でした。

    爆弾などを利用したリアルテロでも、やり方や道具を撒いて、狂信者などを煽ってやらせますよね。
    (煽ってるのがイスラム過激派とは限らないのがアレですが)

    金融制裁に対する報復。
    重大な過失を装った故意。

    陰謀論気味ですいません。

  4. araigumanooyaji より:

    “PayPayに対して、即時に行政指導を入れて頂きたい。 理由は、PayPayとは無関係のカード決済までもが 多大な危険にさらされているため。 金融庁になるかと思うが、即応して頂きたい。”

  5. ZUMA より:

    日本のキャッシュレスと言えば、Suicaかクレジットカード。上限2万のSuicaはPayPayの敵では無い。一般市場でPayPayに競合するクレジットカードをなんとかしたいと考えたら、、、無制限リトライ設定はPayPay側が”故意”に行った攻撃に見えます。

  6. m様 より:

    PayPay側は、登録されたカードはわかっても、そのカードの正しいユーザは知りえないので、
    登録(入力が試行)されたカード情報を、各カード会社に通知、カード会社に手数料を払って、
    顧客に確認を行ってもらう。
    顧客が登録していない→不正登録の場合、PayPay側で手数料負担で、カード再発行。

    ぐらいは、最低限必要かと。

  7. 間違って、本名入れてしまいました より:

    ※ すいません。↑の、間違って本名入れてしまったので、削除いただけないでしょうか?

  8. E07Kaz より:

    PayPay側は、登録されたカードはわかっても、そのカードの正しいユーザは知りえないので、
    登録(入力が試行)されたカード情報を、各カード会社に通知、カード会社に手数料を払って、
    顧客に確認を行ってもらう。
    顧客が登録していない→不正登録の場合、PayPay側で手数料負担で、カード再発行。

    ぐらいは、最低限必要かと。

  9. Augusta より:

     根拠のない行政指導で株式公開に影響が出た場合、損害賠償請求する、と金融庁に言っていると思いますよ。その辺は抜かりないかと。動くとしてももう少し後では。

     VISA・MASTERホルダーは「PAYPAYとの取引を辞めろ、迷惑だ」と言った方がいい。今回の問題を受けて、VISA、MASTER解約、他のカードへ乗り換えを検討する人は増えます。何も言わずにではなく、文句は言っておきましょう。

  10. 旧新人類 より:

    この件に関してとりあえず官邸メールしました。ぺいぺいって、気持ち悪い名称ですね。なにが100億円還元だ、ふざけんな。こういう、セキュリティに欠陥があって潜在的に甚大な被害が生じる可能性がある決済サービスはこれから一切許可しないでください、と要望を書きました。金融庁HPによると、「平成30年6月1日から、「電子決済等代行業」に関する新しい制度が開始され、国内で電子決済等代行業を営むには、銀行法等に基づく登録が必要となります。」だそうです。どういう内容でしょうか。罰則もあるようですけど。

  11. 小坪さん、毎日ありがとうございます。

    100億円にしても、景表法ギリギリのところでやってた、という話もありますよね。
    合法スレスレ、と。
    日本人は商売に関してはもっと性悪説にならなあかんのでしょうけど、いつも騙されてしまうんですよね。
    それにしても今日、SBの上場というタイミングも際どい話ですね。

  12. 名無しの案山子 より:

    犯罪とはファーストマネーであり、犯罪者は経営者と基本は同じです。犯罪が成立する場合の要素は、リターンとリスクとコストです。

    つまり、リターンが高く、リスクとコストが低ければ、その犯罪はやる価値が有ると言う事になります。

    ま、今回の事件も同じでしょう。逮捕されないんなら、真面目に働くより犯罪の方が儲かるし、犯罪をやっても何も問題は無い、と言う事でしょう。

  13. おめで鯛 より:

    いつも興味深く拝見させていただいております。

    paypayは利用していないですが、とある提携先のクレジットカードのユーザです。
    先ほど、paypayの件を鑑み、カードの情報が流出した可能性を考慮し、電話でカード番号変更の申し出を行ったところ、手数料がかかる(ユーザの負担)とのことでした。

    「情報が流出した可能性」だけでは、カード番号変更は無料ではできないとのことです。
    また、「情報が流出した可能性」を作り出しのは私ではないこと、それはカード会社も認識している上でのこと。

    また、下記の場合にはユーザ負担ではなくカード番号変更が行われるとのことです。
    ・実際に不正利用が発覚した場合
    ・カード情報流出されたかもしれないという情報が提携側(ここでいうとpaypay)からカード会社側に提供された場合

    要は、「情報漏れたかもしれないけど、誰の情報が漏れたかわからないからカード会社としては対応しないよ」、ということだと解釈しました。
    だったら、誰の情報が漏れたのか調べないの?と思ったのですが、カード会社としては特に対応を協議していないとのことでした。

    最後の方は、なんか鬱陶しいクレームでごねてる人に対応してますみたいな感じ(これは私の勝手な感想ですが)になってきて、「ちょっと消費者庁に問い合わせてみます、ありがとうございました」みたいな感じで電話終わりましたが。

    もともとは、paypayの件の不安を払拭したくて問い合わせしただけなのですが、会社そのものに不信を感じてしまいました。
    現在の利用残高の処理が済んだら解約する方針です。

    とはいえ、個人はそれでいいのですが、今回の件では、paypayのみならず、カード会社、電子決済に関わる問題等、考えれば考えるほど多岐にわたる問題を浮き彫りにしたのかなぁと感じます。

    拙い文章で失礼いたしました。

  14. より:

    wikiを見たら10月上旬から開始されているんですね、それで対応が12月中旬
    一体どれだけのクレジットのセキュリティコードが突破されたのか想像するだけでも恐ろしいですね
    しかもVisaなら国内外で多数の人達が使っているのでpaypayのゆるいセキュリティのあり方は
    国内だけではなく世界のVisa利用者が被害を受けた可能性も有るのではないでしょうか

  15. じた より:

    問い合わせの返事が来ましたが、基本、テンプレですね。
    言葉は丁寧だけど、安全性を高める気があるかは不明。
    と言うか、一社は何もしないとも受け取れる対応。

    元々、不正利用は完全に防ぎきれるものではないので、ある程度の損は織り込み済みなのでしょうが。
    でも、何もしないよりは、反応が分かっていても、何かしようとする人の助けになるはずなので問い合わせします。

    以下、陰謀論。
    銀行の中の人がマネーロンダリングに協力してるらしいですが、クレジット会社にも不正利用の被害に見せかけて資金集めをする協力者がいるんだろうなと思いました。

  16. 男子の端くれの端くれ より:

    あ・・・これって図らずともカード不正利用助成システムに
    全く意図せず、そんな事1ミリ足りとも予想せず、偶然の
    ちょっとした不注意で、そうなってしまっていたのですね。

    そんな訳ねえ。
    マジで心配になってそして地元の議員にメールしました。
    あああああああああカード作ったばかりなのに!

  17. じた より:

    考えれば考える程、色々な事に気がついて腹が立ってくる。
    連投、本当にごめんなさい。

    paypayは、サーバーログから、登録時にセキュリティコードを10回以上入れ直しているアカウントを特定し、身元確認ができるまで一時無効にすればいいだけの話じゃないですか。
    膨大なデータ量であっても、何かプログラムみたいのを作ってチェックできる気がするのですが、どうなんでしょう、情報処理に詳しい方。

    リストアップ後の作業が面倒くさいなら、名簿ごとクレジット会社に丸投げすりゃあいい。

    仕様が欠陥だらけだったのは、一万歩譲って過失だとしても、その後の対応をしないなら、犯罪に協力をしている事になる。
    反社会的勢力が組織的に不正利用してない訳がないんだから。

    将来性をアピールして、業界内でなあなあで済ませてしまうんだろうか。
    どこから金を抜く(最終的にどこが損をする)予定なんだろう。

    そして、さらに考えたら、こういった登録系のシステムで、犯罪幇助前提、もとい、利便性を優先して防犯意識の低い所が他にもあるかも(技術的には可能)という事なんですよね?

  18. 佐藤 弘 より:

    paypayのポイント取消問題についても触れてほしい。
    クレジットカードの登録に何のチェックもなかったため、家族のカードを登録した人達が軒並みポイントの取消が行われています。
    登録時や決済時にエラーになるならまだしも、その時は何も言わずにポイント発行時に無効にするのはあまりにもおかしいのではないかと考えています。

タイトルとURLをコピーしました