Photo By Shutterstock
伊藤僑
Free-lance Writer / Editor
IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。
PayPayが発表した不正利用に関する調査結果と今後の対応
昨年末の12月27日、バーコード決済アプリの「PayPay」から、クレジットカードの不正利用に関する調査の結果と補償、今後の対応について発表が行われた。
同社の調査結果によると、不正利用の主な要因は、悪意ある第三者が何らかの方法で入手したクレジットカード情報(セキュリティコード含む)を利用した可能性が高いとしている。
当初疑われていた、正規のクレジットカード利用者になりすました攻撃者が、カード登録時にセキュリティコードの入力を承認されるまで繰り返し行う、いわゆる「総当たり攻撃」を疑われるもの(※1)は、PayPayのサービス開始以来13件に過ぎなかったようだ。しかも、その13件のうち9件は本人利用であることを確認済みというから、この方法を使った不正利用はごく僅かと推定される。
(※1)同社では「クレジットカード登録時にセキュリティコードを20回以上入力し登録に至った」と表現している。
これらの調査結果を受けて同社では、既に対策済みの「カード登録時の入力回数制限」に加え、本人認証サービス「3Dセキュア」への対応(2019年1月から)を表明した。
3Dセキュアとは、Visa、Mastercard、JCB、American Expressが推奨している本人認証サービスのこと。インターネット上のショッピングモール等で買い物をする際に、クレジットカード番号等の入力に加えて、予め利用しているクレジットカード会社のウェブサイトで登録したパスワード、もしくはワンタイムパスワードを入力することで本人認証を行うというものだ。
同社ではこの他にも、クレジットカードでの決済金額に上限(過去30日間で5万円)を設ける対策を講じている。
PayPay騒動に学ぶ安全なクレジットカードの利用法
PayPayの調査結果からも分かるように、不正に入手したクレジットカード情報を悪用する犯罪が横行している。筆者もクレジットカード会社から、「香港で買い物しましたか?」とか、「秋葉原でパソコンを複数台買いましたか?」という確認の電話連絡を何度か受けたことがある。
利用者の購買パターンから外れる買い物について、アラートを上げてくれるクレジットカード会社の異常検知システムのおかげで被害を被ることはなかったが、もし不正利用が検知されなかったら、かなり高額な被害を受けていた可能性がある。また、最近では少額の不正利用も頻発しているようなので、被害を受けていることに気づかない場合も少なくないようだ。
これらの経験を踏まえ、筆者が実行しているのは、オンラインショップや各種有料サービスなどへのカード登録は極力避けることだ。オンラインショップやモールの場合なら、頻繁に利用する大手サービスを除きクレジットカード情報は登録しないことにしている。
登録していないと、その都度カード情報を入力しなければならないが、安全のためには多少の手間を惜しまないことだ。カード情報を登録するサービスを少なくしておけば、情報流出先を特定することが容易になるので、万一被害を受けた場合にも対策を立てやすい。
着払いや銀行振り込みなど、支払い方法が複数用意されている場合には、状況に応じて安全が確保しやすい方法を選択しよう。
怪しそうなサービスを利用する場合には特に注意しよう
有料出会い系サイトやアダルト系など、ちょっと怪しそうなサービスを利用する場合には、特に注意が必要だ。
クレジットカード情報を登録してしまうと、金銭的な被害だけでなく、怪しいサービスを利用していたことが暴露される危険性も出てくる。カード情報から個人が特定されてしまうからだ。数年前には、カナダの某不倫希望者マッチングサイトから個人情報が大量に流出し自殺者まで出ている。
多少のリスクは承知の上で、それでも怪しそうなサービスを利用したいというなら、サービス事業者にカード情報を知らせず支払いが出来るオンライン決済サービスがオススメだ。特に「PayPal」は対応しているサービスが多い。
アンダーグラウンド・マーケットでは、不正侵入や人為的ミスなどによって流出した膨大な数のクレジットカード情報が売買されており、その数は日々刻々と増えている。
オンラインショップやネット上における各種有料サービス利用する際には、情報流出の危険性も考慮した上で決済方法を決めたいものだ。また、フィッシングメールや偽サイトなどによるカード情報の盗難にも気を付けよう。