EVENT | 2018/12/19

PayPayで相次いだクレカ不正利用。押さえるべき要点とQRコード決済自体に潜むセキュリティ懸念

PayPay株式会社のウェブサイト

ソフトバンクとヤフーが出資するモバイル決済サービス「PayPay」で不正利用が...

SHARE

  • twitter
  • facebook
  • はてな
  • line

PayPay株式会社のウェブサイト

ソフトバンクとヤフーが出資するモバイル決済サービス「PayPay」で不正利用が相次いでいる。

不特定多数のクレジットカード利用者に対し、身に覚えのないPayPay経由の請求が発生。SNS上には相次いで被害を報告する投稿が行われ、新聞やニュース番組でも大きく取り上げられる事態となっているのだ。

被害の拡大を防ぐため、PayPayも注意喚起を行っている。

伊藤僑

Free-lance Writer / Editor 

IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。

PayPay不正利用が頻発した原因は何だったのか

今回のPayPayにおける不正利用の原因の1つとみられているのが、クレジットカード登録時の入力回数に制限が無かったことだ。

PayPayでは、支払い方法にクレジットカードを追加する際に、セキュリティコードの入力を何度間違えてもロックがかかることはなかった。そのため、不正プログラムを利用して、想定されるあらゆるコードを生成し繰り返し試す「総当たり攻撃」が行われた可能性があるのだ。

同社でもこの問題点は既に把握しており、12月18日にはPayPayアプリに入力回数に制限を設ける改良を実施している。

ただし、クレジットカード番号や有効期限の入手方法については、既にショッピングサイト等から流出しているものを使用したのか、不正プログラム等によるものなのかは分かっていない。

PayPayが攻撃者から狙われることになった要因としては、同社が12月4〜13日に実施した「100億円あげちゃうキャンペーン」の影響も考えられる。

支払額の20%、もしくは最大10分の1の確率で全額をポイント還元するという大盤振る舞いのキャンペーンを受け、PayPayを使って高額商品を購入する人が続出したため、高額の不正購入を行ってもクレジットカードの審査を通過しやすいと考えたのではないだろうか。

また、PayPayで3万円以上の支払いをする場合には、運転免許証やパスポートなどの本人確認書類の掲示が必要だったのに、キャンペーンのため店舗に利用者が殺到し、確認を怠る場合が少なくなかったことも被害を拡大することにつながったようだ。

QRコード決済で先行するALIPAY、WeChat Pay

QRコードを使用した決済サービスで先行しているのは、中国で普及している「ALIPAY(支付宝)」と「WeChat Pay(微信支付)」だ。人民網日本語版によれば、2017年度における中国のモバイル決済金額は約3,450兆円にのぼり、2013年からの4年間で約22倍に拡大しているというから驚かされる。

Alipayは、もともと中国のAmazonといわれるEコマース企業「Alibaba」のオンライン決済で用いられていたもので、WeChat Payは、中国版LINEといわれるメッセージングアプリ「WeChat」における個人間送金で用いられていた仕組みだ。どちらも中国では人気のサービスだったため、QRコードを使った店舗決済機能が提供されはじめると、爆発的な勢いで普及した。いまでは店舗だけでなく、大道芸人や物乞いですら使用しているといわれるほどだ。

日本におけるモバイル決済は、スタートこそ「おサイフケータイ」や「交通系ICカード」などの普及が世界に先駆けて進み、電子決済先進国といわれていたが、いまだに交通費やコンビニなどにおける少額決済での利用が中心だ。いまや生活のあらゆるシーンでモバイル決済が浸透している中国に、大きく差を付けられている。

ALIPAYやWeChat PayとPayPayの違いとは

そんな日本の状況を変革するかもしれない新たなモバイル決済サービスが、このところ相次いで登場している。その多くがQRコードを用いた決済サービスで、PayPayもその1つだ。

店舗等における決済時の利用形態がALIPAYやWeChat Payと同じように見えるため、PayPayもこれらと同じサービス内容だろうと考えている人が多いようだが、実は大きな違いがある。既に多くの利用実績を有するALIPAYやWeChat Payで、今回PayPayに発生したようなトラブルが発生していないのも、その違いのためだ。

違いは支払い方法にある。

PayPayで利用できる支払い方法は3つある。

(1)あらかじめ「PayPay残高」という電子マネーにお金をチャージしておいて、そこから支払う

(2)ヤフーが提供する電子マネーサービス「Yahoo!マネー」を支払いに使う

(3)PayPayでの購買に使用するクレジットカードを登録しておく

今回、不正使用が頻発しているのは(3)のクレジットカードを使用した決済方法だ。ALIPAYやWeChat Payでは、このクレジットカードを使用した決済方法は使用できないので、同様のトラブルが発生することはない。

そもそもALIPAYやWeChat Payが中国で爆発的に普及したのには、与信力がなくてクレジットカードを持てない人たちがとても多かったという背景がある。にもかかわらず、偽札は横行し、現金を狙う犯罪も多かった。そこで、スマホを持っていれば誰もが手軽に利用できるALIPAYやWeChat Payが受け入れられたのだ。

既にQRコード決済の仕組みを悪用した犯罪も

とはいえ、今回の不正利用の原因がクレジットカードの登録手続きにあり、QRコードを利用した決済方法そのものになかったからといって、絶対に安全というわけではない。

物理的な不正の方法としては、店先などに掲示されているQRコードを偽造したものとすり替える犯罪事例が中国では数多く報告されており、電子的にスマホアプリに改変を加える手口が出てくることなども懸念されている。筆者も今年7月に同様の注意喚起を促す記事を書いている。

QRコード決済を利用するのであれば、被害を被ることのないよう、不正利用に関する情報には常に気をつけておきたいものだ。


PayPayについて