ITmedia NEWS > STUDIO >
ニュース
» 2018年12月18日 16時00分 公開

PayPayの不正利用、どう防ぐ? 狙われるのは“ポイント付与”の1月か (1/2)

認証セキュリティ企業の担当者が、PayPayの不正利用問題やユーザーができる自衛策などを解説。還元額がポイントで付与される1月に不正利用が本格化するか。

[パスロジ,ITmedia]

 こんにちは。ITmedia NEWSで認証について解説する連載「今さら聞けない『認証』のハナシ」を執筆している、認証セキュリティ専門企業パスロジの記事担当者(匿名)です。

 当社では認証セキュリティの情報サイト「せぐなべ」を運営しており、そこで12月21日に掲載予定だった記事を先行してITmedia NEWSに提供しています。その内容はいま話題のモバイル決済サービス「PayPay」と、その認証セキュリティについてです。

 100億円還元キャンペーンが話題になりましたが、その裏でクレジットカード情報を悪用した不正利用の被害に遭うユーザーも多くいました。PayPayの認証セキュリティの問題点や、ユーザーができる自衛策について解説します。

ペイペイ

PayPayの認証セキュリティ

 まず大前提として、PayPayはスマホアプリによる決済なので、そのスマートフォン自体がロックされ、暗証番号や生体認証などで第三者利用を防いでいることが前提になります。

 PayPayのアプリ起動時の本人認証は、初期状態ではオフになっており、アプリのメニューから「セキュリティ設定」でオンにすることで、電話番号+パスワード認証や、スマートフォンが持つ生体認証が設定されます。

 ですので、スマートフォンにロックがかけられていない状態でPayPayをインストール&アカウント設定し、そのままの状態でスマホを紛失してしまうと、「知らない人に買い物され放題」という悲惨なことが起きてしまいかねません。少なくともスマートフォンのロックはかけましょう。

 PayPayでの支払い方法は、PayPay内の残高か、Yahoo!ウォレットに登録した銀行口座、Yahoo!マネー、クレジットカードから選択できます。PayPay残高がなく、Yahoo!の各サービスのユーザーでない場合は、自ずとクレジットカード(および一部のデビットカード)での決済になります。クレジットカード決済を利用する際には、クレジットカード番号と有効期限、セキュリティコードを入力してひも付けます。

ペイペイ 登録までのプロセス

クレカ不正利用で対策を打ったが……

 PayPayで決済に設定するクレジットカードは、VISAかMasterCardになりますが、カード番号、有効期限、セキュリティコードさえ分かれば設定できてしまいます。クレジットカード会社が運用するオンライン本人認証サービス「3Dセキュア」は設定されていません。

 さらに、クレジットカード裏面のセキュリティコードについては、違う番号を複数回入力した際に入力をさせなくする「ロックアウト機能」が当初は設定されてませんでした。000〜999まで、999回セキュリティコードの入力を試してみれば突破できる状況だったので、第三者による不正利用がSNS上やメディアのニュースで報告されていました。

 この仕様は12月18日のアップデートで修正され、現在では4回目の入力を間違えるとロックアウトがかかるようになっています。

 このロックアウトは入力ができなくなるロックアウトではなく、アカウント自体が使えなくなるロックアウトです。しかも、時間の経過では解除されず、カスタマーセンターに連絡しないといけないようです。

 ロックアウトが導入されたとはいえ、クレジットカードはお店に渡して使用することもあるので、クレジットカード番号はある程度公開されている情報です。そこに悪意があれば、裏面のセキュリティコードもメモされてしまうので、クレジットカードを目の届く範囲に扱ってもらうように、あらためて注意しましょう。

ペイペイ PayPayからのお知らせ
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.