●PayPayの「クレジットカード不正利用」はなぜ起きたのか?・iT media

http://www.itmedia.co.jp/mobile/articles/1812/17/news090.html

抜粋

・ネット上で、PayPayを経由してクレジットカードが不正利用されたという声が挙がっている。PayPay広報に確認したところ、既存ユーザーがPayPayに登録したクレジットカードの情報が漏えいした事実はないとのこと。考えられるのは、第三者が何らかの手段で入手したクレジットカードの情報をPayPayアプリに入力し、不正に利用している可能性だ。

PayPayアプリではセキュリティコードの入力を何度も間違えてもロックはかからない

・PayPayでは3万円以上の買い物をする際に、身分証明書の提示が必要になるが、ネットでは、身分証明書を提示しなくても3万円以上の買い物ができたという声も。


●ペイペイ不正「50万以上、どーなってるの?」・読売新聞

(記事はリンク切れ)

・購入額の2割を還元するキャンペーンに合わせ、カード情報がダークウェブ(闇サイト)などで出回った可能性

・ペイペイを利用していない新潟県の男性も被害に。

・情報セキュリティー会社マキナレコードの軍司氏によると、その頃からダークウェブ上で、以前に流出したとみられる日本のカード情報が大量に売買されていたという。軍司氏は「キャンペーンで需要が増えると踏んで大量に売りに出されたのではないか」と指摘

・ペイペイのアプリには、カード情報を入力する際、繰り返し間違えてもロックがかかる機能がなく、数字の組み合わせを手当たり次第に入力する「総当たり攻撃」が一部で行われている可能性もある


私見

この2つの記事を読んで気づいたことは、「PayPay祭りに便乗したカードの不正利用であり、PayPayからの情報漏洩ではなさそう」です。

一方で、「PayPayアプリがコードの入力ミスをロックしない点」と「店頭で高額商品を買った際の身分証明書の提示を求めなかった場合があった点」、この2つはPayPay側に責任があると思います。

また、今朝のTBSの「ビビット」で少し見た有識者の話だと「今年は、海外の有名ホテルなどでカード情報が大量に流出したというニュースがあり、その情報が今回、悪用された可能性もあるので、PayPayだけの責任ではない」とも言われていました。

要するに、不正に入手したカード情報をPayPayアプリに使用し、さらにプログラムで適当なセキュリティコード3桁を連続して入力し、突破したものを使って買い物をされた可能性が考えられます。

(12/18追記 スッキリより PayPay側「セキュリティロックに制限をかけなかったのは何回も入力ミスをしてもカードの追加ができるようにした。近々アプリの修正を行う予定」とのこと)

 

一度、カード番号が漏洩してしまうと心配でなりませんし、そもそも「漏洩したという連絡が、漏洩元からカード会社や所有者に届いているのか?」という疑心暗鬼になりそう。

ネットでの買い物といえばカード、と思っている私ですが「極力、サイト上にはカード番号を残さない方が良い」と判断し、早速、「支払い先の1つをカードから銀行の口座振替に変更」しました。