今日から始めるモバイル決済
インタビュー
» 2018年12月20日 15時48分 公開

モバイル決済の裏側を聞く:PayPay中山社長インタビュー 「100億円祭り」と「クレカ不正利用問題」が残したもの (3/3)

[鈴木淳也(Junya Suzuki),ITmedia]
前のページへ 1|2|3       

流出カード不正利用についての考察

 ここまで、インタビューでの中山氏の発言をまとめる形で整理してきたが、ここから先は筆者の考察とさせていただく。事件の概要と、その後に行われた対策についての解説は、該当記事が既にあるので割愛する。

 今回の問題の一端は、PayPayアプリの実装にある。3Dセキュア等のオンライン決済向けの認証サービスに対応せず、カード番号、有効期限、セキュリティコードの3点のみで登録が行われ、本人確認を行う2要素認証(メールや電話、SMSでの確認作業)も発生しない。

PayPay 当初、クレジットカードのセキュリティコードは何度間違えてもロックがかからない仕様だった

 PayPayのアカウントは電話番号単位で管理されるが、複数アカウントをまたいで1枚のカードを重複登録できる。この仕組み自体は問題ないが、カード登録に本人確認が発生しない他、対策前のアプリではカード入力の試行回数に制限がなかったため、例えば流出した、または盗まれたカード番号と有効期限を使い、セキュリティコード3桁を片っ端から入力することで有効なカード番号を探し出して力業で登録することが可能だった。

 比較的初歩的なセキュリティホールではあるものの、カードの不正利用を助長する仕組みになってしまったことが批判の的となった。ビックカメラやヤマダ電機などの高額商品を扱う店舗で換金性の高い商品を購入すれば、近年、規制傾向の強いATMでのキャッシングを回避しての現金化も可能だ。

 PayPayによれば、カードの利用状況そのものについては(正規の決済かどうか)把握する術がなく、PayPayユーザーだけでなく(不正利用された可能性のある)カード保有者全てが利用状況をカード会社に問い合わせてほしいとしている。また、実際のシステムや対策内容など、詳細についてはセキュリティ上答えられないとも筆者の取材に対して回答している。

 実際に取引が不正なものかどうかはMastercardやVisaといったカードブランドやカード会社側のシステムに依存しており、利便性の観点からもPayPay側で一方的に判断することは難しいと考える。

【訂正:2018年12月21日12時27分 初出時に、ソフトバンク・ペイメント・サービスがPayPayのアクワイアリングを行っていることを推測する記述がありましたが、実際にはアクワイアリングを行っていないため、該当箇所を削除いたしました。おわびして訂正致します】

 一方で、セキュリティホールを利用した“当たり”コードの発見などの方法が利用された場合、異常なリトライを繰り返したアクセスログそのものはPayPay側に残っていると考えられるため、該当するカード番号や、それが登録されたアカウント(電話番号)などをカード会社や携帯電話会社に通達するくらいの配慮はあっていいかもしれない。

 とはいえ、既に波は過ぎ去ったと思われるため、これで不正利用の犯人検挙につながるかといえば、恐らくほとんど成果はないとも予想する。実際の被害に対する補償がどう処理されるかは不明だが、個別の対応内容については触れられないにしても、PayPay側から後日改めてアナウンスがあってもいいと思う。

「PayPayは危ない」と評価するのは早計

 冒頭でも触れたが、正直いってPayPayはまだ走り始めたばかりの非常に未熟なサービスだ。当然セキュリティホールだけではない問題が大量にあり、それゆえ「改善」「安定性」「継続性」を中山氏は強調する。ユーザーも加盟店も、それを踏まえた上で終わりのない改善レースを見守っていくことが重要だろう。

 今回の件を理由に「PayPayは危ない」「だからソフトバンクは……」と言って一方的にサービスそのものを全否定するのは違うのではないだろうか。かつてはApple Payでさえ、米国での立ち上げ時にカードのWalletへの不正登録事案が報告され、対策の強化に走ったという経緯がある。

 筆者は2011年からこのモバイル決済分野で世界中の事例を取材し続けている。2012年にはロンドン五輪開催に合わせる形で、世界中の携帯キャリアがモバイル決済サービスの立ち上げを準備しており、同時にそれらがセキュリティ上の問題を理由に正式サービスイン前に立ち消えになったことも知っている。

 Apple Pay登場までモバイル決済の市場が立ち上がらなかった理由の一つは、もちろん端末メーカー(Google)と携帯キャリアを巡る主導権争いも背景にあるものの、金融業界そのものが、セキュリティ上の理由でモバイル決済に対して保守的に振る舞ったという理由もある。最初から完璧なサービスなどなく、むしろ問題も踏まえた上で改善しながら成長を促すことが建設的だと考える。恐らく、このトライ&エラーに対する許容度が日本のキャッシュレスを推進させる原動力の一つではないのだろうか。

 「QRコード決済」は手段の一つにすぎないが、今後もオンラインにカードに電子マネーに生体認証を組み合わせたアカウント決済に、さまざまな形で日本はキャッシュレス社会に向けて進んでいく。このとき、PayPayがモバイル決済サービスの1つとしてどのような形で存在し、日々ユーザーに利用されているか。5年、10年先を見据えて観察していきたい。

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

この記事が気に入ったら
ITmedia Mobile に「いいね!」しよう