PayPay中山社長インタビュー 「100億円祭り」と「クレカ不正利用問題」が残したもの:モバイル決済の裏側を聞く(3/3 ページ)
「100億円あげちゃうキャンペーン」が大きなインパクトを残した「PayPay」。わずか10日間でキャンペーンが終了したかと思ったら、クレジットカードの不正利用問題も勃発。キャンペーン終了直後に、PayPay中山社長にお話を聞く機会を得た。PayPayはどこに向かうのか?
流出カード不正利用についての考察
ここまで、インタビューでの中山氏の発言をまとめる形で整理してきたが、ここから先は筆者の考察とさせていただく。事件の概要と、その後に行われた対策についての解説は、該当記事が既にあるので割愛する。
今回の問題の一端は、PayPayアプリの実装にある。3Dセキュア等のオンライン決済向けの認証サービスに対応せず、カード番号、有効期限、セキュリティコードの3点のみで登録が行われ、本人確認を行う2要素認証(メールや電話、SMSでの確認作業)も発生しない。
PayPayのアカウントは電話番号単位で管理されるが、複数アカウントをまたいで1枚のカードを重複登録できる。この仕組み自体は問題ないが、カード登録に本人確認が発生しない他、対策前のアプリではカード入力の試行回数に制限がなかったため、例えば流出した、または盗まれたカード番号と有効期限を使い、セキュリティコード3桁を片っ端から入力することで有効なカード番号を探し出して力業で登録することが可能だった。
比較的初歩的なセキュリティホールではあるものの、カードの不正利用を助長する仕組みになってしまったことが批判の的となった。ビックカメラやヤマダ電機などの高額商品を扱う店舗で換金性の高い商品を購入すれば、近年、規制傾向の強いATMでのキャッシングを回避しての現金化も可能だ。
PayPayによれば、カードの利用状況そのものについては(正規の決済かどうか)把握する術がなく、PayPayユーザーだけでなく(不正利用された可能性のある)カード保有者全てが利用状況をカード会社に問い合わせてほしいとしている。また、実際のシステムや対策内容など、詳細についてはセキュリティ上答えられないとも筆者の取材に対して回答している。
実際に取引が不正なものかどうかはMastercardやVisaといったカードブランドやカード会社側のシステムに依存しており、利便性の観点からもPayPay側で一方的に判断することは難しいと考える。
【訂正:2018年12月21日12時27分 初出時に、ソフトバンク・ペイメント・サービスがPayPayのアクワイアリングを行っていることを推測する記述がありましたが、実際にはアクワイアリングを行っていないため、該当箇所を削除いたしました。おわびして訂正致します】
一方で、セキュリティホールを利用した“当たり”コードの発見などの方法が利用された場合、異常なリトライを繰り返したアクセスログそのものはPayPay側に残っていると考えられるため、該当するカード番号や、それが登録されたアカウント(電話番号)などをカード会社や携帯電話会社に通達するくらいの配慮はあっていいかもしれない。
とはいえ、既に波は過ぎ去ったと思われるため、これで不正利用の犯人検挙につながるかといえば、恐らくほとんど成果はないとも予想する。実際の被害に対する補償がどう処理されるかは不明だが、個別の対応内容については触れられないにしても、PayPay側から後日改めてアナウンスがあってもいいと思う。
「PayPayは危ない」と評価するのは早計
冒頭でも触れたが、正直いってPayPayはまだ走り始めたばかりの非常に未熟なサービスだ。当然セキュリティホールだけではない問題が大量にあり、それゆえ「改善」「安定性」「継続性」を中山氏は強調する。ユーザーも加盟店も、それを踏まえた上で終わりのない改善レースを見守っていくことが重要だろう。
今回の件を理由に「PayPayは危ない」「だからソフトバンクは……」と言って一方的にサービスそのものを全否定するのは違うのではないだろうか。かつてはApple Payでさえ、米国での立ち上げ時にカードのWalletへの不正登録事案が報告され、対策の強化に走ったという経緯がある。
筆者は2011年からこのモバイル決済分野で世界中の事例を取材し続けている。2012年にはロンドン五輪開催に合わせる形で、世界中の携帯キャリアがモバイル決済サービスの立ち上げを準備しており、同時にそれらがセキュリティ上の問題を理由に正式サービスイン前に立ち消えになったことも知っている。
Apple Pay登場までモバイル決済の市場が立ち上がらなかった理由の一つは、もちろん端末メーカー(Google)と携帯キャリアを巡る主導権争いも背景にあるものの、金融業界そのものが、セキュリティ上の理由でモバイル決済に対して保守的に振る舞ったという理由もある。最初から完璧なサービスなどなく、むしろ問題も踏まえた上で改善しながら成長を促すことが建設的だと考える。恐らく、このトライ&エラーに対する許容度が日本のキャッシュレスを推進させる原動力の一つではないのだろうか。
「QRコード決済」は手段の一つにすぎないが、今後もオンラインにカードに電子マネーに生体認証を組み合わせたアカウント決済に、さまざまな形で日本はキャッシュレス社会に向けて進んでいく。このとき、PayPayがモバイル決済サービスの1つとしてどのような形で存在し、日々ユーザーに利用されているか。5年、10年先を見据えて観察していきたい。
関連記事
- 100億円キャンペーンは「反省点がたくさんある」 PayPay中山社長を直撃
総額100億円を還元する「PayPay」の「100億円あげちゃうキャンペーン」が、開始からわずか10日間で終了した。ITmedia Mobileでは、PayPayの中山一郎社長にインタビューをする機会を得た。中山氏にキャンペーンの手応えを直撃した。 - PayPayの“100億円キャンペーン”は成功だったのか?
コード決済サービス「PayPay」の、100億円還元キャンペーンが、開始からわずか10日で終了した。今回の100億円還元キャンペーンは「成功」といえるのだろうか。PayPayの認知とユーザーの拡大という点では成功といえるが……。 - PayPayの「クレジットカード不正利用」はなぜ起きたのか?
PayPayを経由したクレジットカードの不正利用が起きている。PayPayはアプリのレシートを見るか、カード会社に連絡をするよう呼び掛けている。なぜ不正利用が起きたのか? - 20%還元スタートの「PayPay」で早速買い物をしてみた 意外な戸惑いも
総額100億円を還元するという「PayPay」の大規模なキャンペーンが、12月4日9時にスタートした。PayPayアプリでは何ができるのか。また本当に20%還元されたのか。初期設定から買い物の様子までレポートする。 - 100億円還元でナンバーワンの決済サービスへ PayPayが大攻勢を開始
「ユーザー数と店舗数の双方でナンバーワンを目指す」。PayPayの中山一郎CEOは、そう高々と宣言する。ソフトバンクグループの資金力を生かし、ユーザーに総額100億円相当ものPayPayボーナス(電子マネー)を還元する、大規模なキャンペーンを打つ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.