PayPayでのクレジットカードの不正利用が多発している原因の一つとして、
PayPayアプリでの「クレジットカードの追加」が簡単な認証登録であることが挙げられます。
クレジットカード番号、有効期限、セキュリティコードの3セットの情報だけで登録が可能となってしまうため、総当たり攻撃(可能な組合せを全て試す方法)で簡単に他人のクレジットカードを登録されてしまいます。
例えば、楽天でお買い物する際に追加でクレジットカードを登録しようとすると「名義人」の情報が求められます。「名義人」があれば総当たり攻撃をかなり防ぐことができます。
◆ 楽天市場でお買いものする場合のクレジットカードの追加登録画面
そして、さらに問題なのはこのPayPayアプリには「 一定回数を認証失敗した場合のロックがかけられていない 」ことです。ですから、PayPay社(SoftbankとYahoo)には以下の2点を早急に対策して頂きたいところであります。
1. クレジットカード追加画面で「名前」も含めるようにすること
2. 一定回数の認証が失敗した場合には、一定時間のロックがかけられるようにすること
システム連携の認証に関わる部分なので「1」のプログラム改修は少し時間がかかるかもしれませんが「2」については比較的早く実装することができるはずです。
利便性と安全性は相反するものではありますが、あまりに安全性(セキュリティ)を軽視していないでしょうか、、とPayPayアプリには思ってしまいました。
しかし、PayPayさん、今回のクレジットカード不正利用が多発したことを受けて14日には、早速「お知らせ」で以下のようなアナウンスをされています。
さすが、超大手2社(SoftbankとYahoo)により生み出された会社は対応が早いと思って少し感心しながらそのページを開いたところ、以下のように書かれていました。
先ずはPayPayアプリのレシートで利用状況を確認するということです。アプリ左上のメニューアイコンをタップして確認します。これにより各取引の決済番号などの詳細を確認できます。
次に、PayPayを利用したことがない場合、レシートを見ても対象の履歴がなかった場合には、以下の確認方法が書かれています。
◆ PayPayを利用したことがない場合、レシートを見ても対象の履歴がなかった場合
お客様の携帯電話やクレジットカードを知りえるご家族様や知人のかたの利用の可能性についてご確認ください。
ご家族の方も含めてご利用にお心当たりがない場合は、ご利用のクレジットカードが不正に利用されている可能性がありますので、速やかにカード会社へご連絡ください。
つまり、不正利用があれば自分の家族、知人が不正利用していないかを疑い、それでも解決しない場合にはカード会社に連絡して下さい、よろしく。。。という内容でした。
ということで現時点で自衛策としては、現在PayPayで利用できるVISA、MasterCard、Yahoo! JAPANカードのクレジットカードをお持ちの方は利用状況を再確認することです。
PayPayではYahoo! JAPANカードを除いてJCBを使用できないので、JCBのクレジットカードなら不正利用されることはありません。例えば、JALカードSuicaでJCBの場合は大丈夫です。
現時点では登録した銀行口座に関連した問題は出ていないようですが、三菱UFJ銀行の場合はPayPayに対応していないので大丈夫ですが、他の銀行口座は再度利用状況を確認しましょう。
家電量販店によって、大きな買い物をする際に客を椅子に座らせておき、会計時にクレジットカードを利用者が見えない所で決済するお店がありますが、そういったところではクレジットカードを使用しないようにしましょう。と言いますか、そのようなお店では買い物をしない事をお勧めします。クレジットカードの表と裏を写真で取られるとそれだけでアウトですから。