PayPayの不正利用、どう防ぐ? 狙われるのは“ポイント付与”の1月か(2/2 ページ)
認証セキュリティ企業の担当者が、PayPayの不正利用問題やユーザーができる自衛策などを解説。還元額がポイントで付与される1月に不正利用が本格化するか。
ポイント付与の1月に注意 スマホとSIMカードの管理を厳重に
2019年1月10日には100億円還元キャンペーンのキャッシュバックが行われます。このキャッシュバックされた残高を狙うのは、加盟店舗ばかりではありません。不正利用者もこの機会を狙ってくる可能性が高いです。
ユーザーの側でも、付与されたPayPay残高が勝手に使われないようにアカウント管理をしっかりしておきましょう。単純な推測されやすいパスワードにしてしまっているなら直しておくべきです。
ただし、PayPayのIDは携帯電話番号です。初期設定時は電話番号にひも付いたSMSでメッセージが届き、メッセージ内のURLをタップして登録しますが、「パスワードを忘れてしまった場合」のパスワード変更も、SMS経由で行われます。つまりSMSを受け取れればパスワードを変更できるのです。
携帯電話番号はスマートフォン本体ではなく、SIMカードにひも付いています。つまり、スマートフォンをロックしていても、SIMカードを盗まれてしまったら、SMSを見られてパスワード変更されてしまう恐れがあります。
12月18日のアップデート後の時点では「プッシュ通知」をオンにしていても、他の端末からのログインや、パスワード変更のお知らせが通知されることはありませんでした。パスワード変更した人が任意でメールやメッセージを送ることはできますが、不正利用しようとしている人が送るわけはありませんよね。パスワードを変えた後でSIMカードをそっと戻されていたら、気付かないかもしれません。
スマートフォンの生体認証を設定していた場合でも、パスワードが変更された後でアプリ起動した際の認証は生体認証で通過できてしまいます(iOS 12.1のTouch IDでテスト済。他の生体認証機能では不明)。つまり、パスワード変更されたことに気付きにくいのです。ログアウトしていれば、再度パスワード入力が必要になるのですが、いちいちログアウトをして使う人はほとんどいないと思います。
ですので、スマートフォンを放置してSIMカードが奪われないよう注意する必要があります。とはいえ、身内の人に寝ている間に盗まれるのを防ぐのはなかなか困難です。もし何か起こった場合は、PayPay公式サイトのFAQにあるように「ご家族様や知人のかたの利用の可能性についてご確認」することになるのですが……ろうばいしている状況でも、関係が壊れないような確認方法を心掛けましょう。
余談ですが、SIMカードや指紋と比較して、パスワードを寝ている間に奪うのはかなり困難です。知識認証の強みはここにあります。ただし、紙にメモしておくなど、記憶から取り出していないことが前提ですが。
自衛策のご提案
19年1月10日に1回目のキャッシュバックが実施されます。それまでに心掛けておくべき自衛策は以下になります。Twitterなどで高額当選報告をした人は特に気を付けておきましょう。
不正利用の情報を受け取れるように
プッシュ通知をオンにしておく
不正ログインを防ぐために
単純な推測されやすいパスワードは設定しない
SIMカードを盗まれないように
スマートフォンをできるだけ放置しない
パスワード変更されたことに気付けるように
できるだけログアウトする(便利さが失われるので厳しいですが)
同居人がいる人は寝る前にログアウト
被害額を制限するために
登録したクレジットカードに利用金額の上限を設定
被害に遭ったことに気づいた時のために
何をするべきか、どこに連絡すべきか確認しておく
1月10日前後に何かあるかもと心の準備を
事業者側には、パスワード変更された際には、任意ではない自動的な通知がユーザーに届くようにしてほしいです。また、登録時にはSMS認証は避けてメール認証にした方が良いと思います。スマートフォンのロックで防げる分、マシだと思うので。
また、1つのアカウントは1つのスマートフォンでしか使用できないようにすることと、「3Dセキュア2.0」導入も検討の余地があるかもしれません。ユーザービリティがキモのサービスなので困難かもしれませんが。
何かと話題のPayPayですが、生活が便利になるアイテムでもありますので、ユーザー側でも事業者側でもセキュリティをしっかりして、安心して便利に使えるようになってほしいものですね。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- PayPay、クレジットカード情報の入力回数に制限 不正利用の対策で
モバイル決済アプリ「PayPay」で、クレジットカード情報の入力回数に制限。「PayPayで、クレジットカードが不正利用された」という報告が相次いでいた。 - PayPayで「クレカ不正利用された」報告相次ぐ 運営元は「速やかに対策を行う」
モバイル決済サービス「PayPay」でクレジットカードを不正利用されたという報告が相次いでいる問題で、運営元は「対応を進めている」と回答した。 - “PayPay祭り”とは何だったのか 激動の10日間を振り返る
PayPayの「100億円あげちゃうキャンペーン」が終了した。あっという間の10日間で何が起きたのか。 - 強力なパスワードを作る法則とは? 意外と知らない「パスワード」のハナシ
私たちにとって身近になってきた「認証」の話。今さら聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。今回のテーマは知識認証の代表格である「パスワード」のハナシ。 - 「認証の回数が多いほど安全」は間違い? 二要素認証のハナシ
私たちにとって身近になってきた「認証」の話。今さら聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。今回のテーマは「二要素認証」。 - 本当に安全? 「二段階認証」のハナシ
私たちにとって身近になってきた「認証」の話。今更聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。 - 「新世紀エヴァンゲリオン」の使徒がネルフ本部に仕掛けた“ハッキングの手口”
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第5回のテーマは「パスワードハッキング」。 - 「新世紀エヴァンゲリオン」で初号機はシンジをどう“認証”しているのか
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第4回のテーマは「血筋認証」。 - 「メタルギアソリッド」と「東のエデン」で注目したい“生体認証”
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第3回のテーマは「生体認証」。 - 「ゼルダの伝説 ブレス オブ ザ ワイルド」で学ぶ”所有物認証”
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第2回のテーマは「所有物認証」。 - 「のばら」には脆弱性がある? 「ファイナルファンタジー」で学ぶ知識認証
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第1回のテーマは「合言葉」。