PayPayの「クレジットカード不正利用」はなぜ起きたのか？

[田中聡，ITmedia]

　PayPayが、コード決済サービス「PayPay」から身に覚えのない請求が発生した際の対応について、注意喚起を行っている。

　PayPayは、身に覚えのないPayPayからの請求が発生している場合、PayPayの決済履歴であるレシートを確認するよう呼びかけている。もし身に覚えのないレシートがあった場合、自分の携帯番号とクレジットカード情報が流出している可能性がある。ただし、支払いのキャンセルをするには店舗での手続きが必要となるため、店舗へ連絡するよう求めている。

　レシートに身に覚えのない履歴がない、またはPayPayを使ったことがない場合、ユーザーの携帯電話やクレジットカードを知りえる家族や知人が使った可能性について確認するよう呼びかけている。それでも心当たりがない場合、クレジットカードが不正利用されている可能性があるので、カード会社に連絡するよう呼びかけている。

PayPayの注意喚起。身に覚えのないレシートが表示されるのは、PayPayに登録した電話番号が流出しているケース。それ以外にも、クレジットカード情報が何らかの形で流出している場合、PayPayを使っていない人でも、PayPay経由でカードを不正利用される可能性がある

　ネット上で、PayPayを経由してクレジットカードが不正利用されたという声が挙がっている。PayPay広報に確認したところ、既存ユーザーがPayPayに登録したクレジットカードの情報が漏えいした事実はないとのこと。考えられるのは、第三者が何らかの手段で入手したクレジットカードの情報をPayPayアプリに入力し、不正に利用している可能性だ。

　PayPayアプリでは、クレジットカード番号、有効期限、セキュリティコードを入力すれば、支払い手段としてクレジットカードを登録できる。ただ、クレジットカードの登録にIDやパスワードなどの入力を必要とする「3Dセキュア」には対応していない。また、PayPayアプリでは、セキュリティコードの入力を何度も間違えてもロックはかからない。試しに、クレジットカードの登録時にセキュリティコードをわざと10回間違えて入力してみたが、特にロックはかからなかった。

現時点で、クレジットカードのセキュリティコードは何度間違えてもロックがかからない仕様だが、これは回数制限を設ける形で改善する予定

　この件についてもPayPay広報に確認したところ、「（セキュリティコードの入力について）現時点でリトライ上限がないのは事実ですが、本日以降速やかに対処する予定です」とのこと。今後は、一定回数以上間違えた場合、ロックがかかってクレジットカードは登録できなくなる。

　PayPayは「PayPayではお客さまの情報を適切な方法で管理しており、安全にサービスをご利用いただけます」とお知らせで述べているが、カード情報が流出している場合、今回の被害は防ぎようがない。不安な人は、クレジットカードに連絡するか、カードの明細を確認するなりした方がいい。不正利用の被害に遭ったものの、クレジットカード会社側で補償を受けられなかった場合は、PayPay側でカード会社に連絡をして、対応を検討するとのこと。

　なお、現時点で身に覚えのない請求に関する問い合わせ件数は、電話とメールを合わせて数十件ほどとのこと。

　PayPayでは3万円以上の買い物をする際に、身分証明書の提示が必要になるが、ネットでは、身分証明書を提示しなくても3万円以上の買い物ができたという声も挙がっている。身分証明書の提示は「不正利用を防ぐため」だが、店頭では身分証明書を提示するだけで、PayPayに登録した情報と照合する作業は行っていない（少なくとも筆者が買い物をしたときは）。身分証の提示を徹底するのはもちろんだが、本当にPayPayに登録した本人なのか、またはクレジットカードの持ち主なのかを確認する手段も必要といえる。