PayPayの不正利用、どう防ぐ？ 狙われるのは“ポイント付与”の1月か（2/2 ページ）

[パスロジ，ITmedia]

ポイント付与の1月に注意　スマホとSIMカードの管理を厳重に

　2019年1月10日には100億円還元キャンペーンのキャッシュバックが行われます。このキャッシュバックされた残高を狙うのは、加盟店舗ばかりではありません。不正利用者もこの機会を狙ってくる可能性が高いです。

12月13日に終了した「100億円あげちゃうキャンペーン」

　ユーザーの側でも、付与されたPayPay残高が勝手に使われないようにアカウント管理をしっかりしておきましょう。単純な推測されやすいパスワードにしてしまっているなら直しておくべきです。

　ただし、PayPayのIDは携帯電話番号です。初期設定時は電話番号にひも付いたSMSでメッセージが届き、メッセージ内のURLをタップして登録しますが、「パスワードを忘れてしまった場合」のパスワード変更も、SMS経由で行われます。つまりSMSを受け取れればパスワードを変更できるのです。

　携帯電話番号はスマートフォン本体ではなく、SIMカードにひも付いています。つまり、スマートフォンをロックしていても、SIMカードを盗まれてしまったら、SMSを見られてパスワード変更されてしまう恐れがあります。

　12月18日のアップデート後の時点では「プッシュ通知」をオンにしていても、他の端末からのログインや、パスワード変更のお知らせが通知されることはありませんでした。パスワード変更した人が任意でメールやメッセージを送ることはできますが、不正利用しようとしている人が送るわけはありませんよね。パスワードを変えた後でSIMカードをそっと戻されていたら、気付かないかもしれません。

　スマートフォンの生体認証を設定していた場合でも、パスワードが変更された後でアプリ起動した際の認証は生体認証で通過できてしまいます（iOS 12.1のTouch IDでテスト済。他の生体認証機能では不明）。つまり、パスワード変更されたことに気付きにくいのです。ログアウトしていれば、再度パスワード入力が必要になるのですが、いちいちログアウトをして使う人はほとんどいないと思います。

　ですので、スマートフォンを放置してSIMカードが奪われないよう注意する必要があります。とはいえ、身内の人に寝ている間に盗まれるのを防ぐのはなかなか困難です。もし何か起こった場合は、PayPay公式サイトのFAQにあるように「ご家族様や知人のかたの利用の可能性についてご確認」することになるのですが……ろうばいしている状況でも、関係が壊れないような確認方法を心掛けましょう。

　余談ですが、SIMカードや指紋と比較して、パスワードを寝ている間に奪うのはかなり困難です。知識認証の強みはここにあります。ただし、紙にメモしておくなど、記憶から取り出していないことが前提ですが。

• 関連記事：強力なパスワードを作る法則とは？　意外と知らない「パスワード」のハナシ

自衛策のご提案

　19年1月10日に1回目のキャッシュバックが実施されます。それまでに心掛けておくべき自衛策は以下になります。Twitterなどで高額当選報告をした人は特に気を付けておきましょう。

不正利用の情報を受け取れるように

プッシュ通知をオンにしておく

不正ログインを防ぐために

単純な推測されやすいパスワードは設定しない

SIMカードを盗まれないように

スマートフォンをできるだけ放置しない

パスワード変更されたことに気付けるように

できるだけログアウトする（便利さが失われるので厳しいですが）

同居人がいる人は寝る前にログアウト

被害額を制限するために

登録したクレジットカードに利用金額の上限を設定

被害に遭ったことに気づいた時のために

何をするべきか、どこに連絡すべきか確認しておく

1月10日前後に何かあるかもと心の準備を

---

　事業者側には、パスワード変更された際には、任意ではない自動的な通知がユーザーに届くようにしてほしいです。また、登録時にはSMS認証は避けてメール認証にした方が良いと思います。スマートフォンのロックで防げる分、マシだと思うので。

　また、1つのアカウントは1つのスマートフォンでしか使用できないようにすることと、「3Dセキュア2.0」導入も検討の余地があるかもしれません。ユーザービリティがキモのサービスなので困難かもしれませんが。

　何かと話題のPayPayですが、生活が便利になるアイテムでもありますので、ユーザー側でも事業者側でもセキュリティをしっかりして、安心して便利に使えるようになってほしいものですね。