ビジネスジャーナル > ITニュース > PayPay、不正利用の温床に
NEW

PayPay、不正利用の温床に…脆弱な安全対策で利用者が犠牲、“急ぎ過ぎ”がアダ

文=兜森衛
【この記事のキーワード】, ,
PayPay、不正利用の温床に…脆弱な安全対策で利用者が犠牲、“急ぎ過ぎ”がアダの画像1PayPay HP」より

 ソフトバンクとヤフーの共同出資会社が10月から提供を開始した、スマートフォン決済サービス「PayPay」。先発する「LINE Pay」「Origami Pay」「楽天ペイ」「d払い」を追い越すべく、12月4日から大型還元キャンペーンを開始した。「100億円あげちゃうキャンペーン」と銘打ち、PayPayで支払えば決済金額の20%を還元するという大盤振る舞い。開始10日間で還元額の100億円に達したため、キャンペーンは12月13日に打ち切られたが、クレジットカードが勝手に登録されてPayPayで不正利用される被害が続発し、PayPayは対応に追われる事態となった。

 そこで、ITジャーナリストの三上洋氏に話を聞いた。

「なぜ不正利用が起きたのか。一つは、他社のサービスでクレジットカードの情報漏洩が起きていることです。先週も世界最大のホテルチェーン『マリオット』で情報漏洩が起きて、そこにクレジットカード情報も含まれていました。このように過去に漏洩したカード情報のリストを、犯人が闇サイトから入手するという手口です。

 もう一つは、クレジットマスターと呼ばれる手口です。これはカード番号とセキュリティコードを総当たり方式で自動プログラムによって入力し、偶然当たった番号を不正に利用する手口です。今回はセキュリティコードを何回も入れられる仕様なので、総当たりが可能でした。PayPayの安全対策がおろそかで、総当たりの実験台になって、不正に悪用された可能性があります。

 キャンペーンと同時に家電量販店で使えたのも、不正利用の犯人にとっては“おいしかった”でしょうね。PayPayは『3万円以上は身分証明書が必要』としましたが、実際の店舗では身分証明書を求めずに販売していた例が複数ありました。また身分証明書は見せるだけでコピーはしないため、あとで不正利用だと判明しても追跡できなかったと思われます。来年の消費増税を控えて、スマホ決済サービスは高齢者を重要な顧客ターゲットに設定しています。高齢者は打ち間違えもあるので、セキュリティを甘くしたのでしょう」

 こうした混乱が起こった原因について、「PayPay側の焦りにある」と三上氏は指摘する。

「他のスマホ決済サービスと比べても、PayPayに優位性は特に見当たりません。QRコード決済なので機能もほとんど変わりません。あえて優位な点を挙げるとすれば、ヤフーのトップページからアプリ加入を促せることや、ヤフオクやヤフーショッピングで使っているヤフーウォレットという口座登録情報がそのまま使える点でしょうか。

 また、LINE Payに対する優位性としては、クレジットカードの限度額いっぱいまで使えることですね。LINE Payは、銀行口座などからチャージするかたちで、Suicaのチャージに似ています。ところがPayPayの場合、チャージもできますが、残高が不足した場合、そのままクレジットカードと同じように使えます。その便利さを突いて犯人に悪用されたわけです。運営側もおそらく予想していなかったのでしょう。

 PayPayは急ぎ過ぎたのです。出遅れた後発のモバイル決済なので、追いつくために100億円キャンペーンをやった。急いでアプリをつくって、少しずつ改修していった。名前の登録が不要であるとか、セキュリティコードを何度も入力できたりとか、安全対策が後手後手になった。これは、やっぱり急ぎ過ぎた代償だと思います」(同)

クレジットカード不正利用の対策が必須

 先行するLINE Payも還元キャンペーンを始めた。還元率は同様に20%だが、1回の決済限度額は2万5000円まで。PayPayは25万円なので、その10分の一にすぎない。システムに不具合があったとしても、高額の買い物ができないので、不正は起きにくくなっている。

「今回の不正利用は、PayPayを使うか使わないかは関係ありません。PayPayをダウンロードしていない人も被害に遭っています。理由は、なんらかのかたちで漏れたクレジットカードの情報が、PayPayに入力されてしまったこと。私たちはPayPayではなくて、クレジットカード不正利用の対策をしなくてはいけない。クレジットカード不正利用の対策でやれることは、利用明細を見ること。覚えのない決済があれば、すぐにカード会社に連絡することです」(同)

 いずれにしても、PayPayのサービスは始まった早々に不正利用という問題に直面し、運用側は今後しばらく対応に追われることになる。

「急がないと金融庁から厳しい指導が入りかねないので、PayPay側は不正利用の実態をきちんと把握して、セキュリティ対策を急ぐ必要があります。セキュリティコードの入力制限も必要ですが、より安全な3Dセキュア、これはパスワードの入力が必要になるなど手間のかかる対策ですが、安全対策は早急に対応すべきです」

 PayPayに出資をしているソフトバンクは19日に上場する。

「ソフトバンクはPayPayでの不正クレジットカード利用の加えて、ファーウェイの基地局入れ替え問題、政府からの料金値下げ圧力など複数の問題を抱えています。株価にダメージを与えそうです」(同)

 ソフトバンク上場の想定価格は1500円。相次ぐトラブルで初値が1500円を下回る可能性も出てきた。今年最後の大型IPOの結果やいかに。
(文=兜森衛)

PayPay、不正利用の温床に…脆弱な安全対策で利用者が犠牲、“急ぎ過ぎ”がアダのページです。ビジネスジャーナルは、IT、, , の最新ニュースをビジネスパーソン向けにいち早くお届けします。ビジネスの本音に迫るならビジネスジャーナルへ!