連載
» 2019年01月16日 05時00分 公開

セキュリティクラスタ まとめのまとめ 2018年12月版:PayPayはセキュアなのか? (2/3)

[山本洋介山(メルカリ),@IT]

PayPay祭りの裏でクレジットカードの悪用が

 12月4日にはスマホから支払いができる「PayPay」というサービスが新たに始まりました。サービス開始時に「100億円あげちゃうキャンペーン」という大規模なキャッシュバックを打ち出したこともあり、キャンペーンの終了まで日本中が熱狂の渦に巻き込まれました。

 しかしながらそれに関連してセキュリティ問題が発生し、暗い影を落とすことになります。多数のクレジットカードの悪用が確認されたのです。

 PayPayではアプリケーションにクレジットカード情報を登録するだけで買い物ができてしまいます。ところが、カードの現物がなくてもカード番号と有効期限、セキュリティコードの3つが分かれば登録可能でした。この状態でPayPayアプリを使い、店頭で買い物をするとすぐに物が手に入ります。流出したクレジットカード情報を悪用して買い物されたということのようです。

 さらに、PayPayでのクレジットカードの登録にはセキュリティコードの入力が必要になるのですが、回数制限が全くなかったことも話題となりました。最大9999回の試行で登録できてしまうため、もし犯罪者が流出したカード番号だけを手に入れていた場合でも、容易に悪用可能だということでした。

 これらの問題について、PayPayのセキュリティの甘さを非難するツイートがたくさん浴びせかけられました。しかし、そもそも決済にセキュリティコードの入力が必要ないサイトもあります。そこでPayPayが特別に悪いわけではないと擁護するツイートもありました。

 この事態を受けてPayPayは「3Dセキュア」を採用するなどクレジットカード利用時のセキュリティを強化すると発表しました。さらにセキュリティコードの連続試行による悪用被害はほとんどなかったようで、過剰な反応だったようです。

Copyright © ITmedia, Inc. All Rights Reserved.

編集部からのお知らせ

8月8日10時30分〜16時30分の間、システムメンテナンスのため記事の一部表示や資料のダウンロードができなくなります。ご理解のほどよろしくお願いいたします。

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。