闇サイトから情報流出!?QRコード決済「PayPay」でカードの不正利用が続出

2019.01.21

IT・WEB

闇サイトから情報流出!?QRコード決済「PayPay」でカードの不正利用が続出

LEADERS online
南青山リーダーズ株式会社

昨年(2018年)12月、スマートフォンを使ったQRコード決済サービス「PayPay(ペイペイ)」で、クレジットカードが不正に利用される被害が次々と発覚。 PayPayを利用していないカード所有者の被害も発生しており、闇サイト群「ダークウェブ」上に流出したカード情報が悪用されたとみられている。 この問題を受けて、PayPayを運営するヤフーとソフトバンクは、カード情報を登録する際のセキュリティシステムを早急に変更。不正利用が起きた場合には、PayPay社が全額を補償すると発表したが……。 なぜ今回、同社のシステムが集中して狙われ、不正利用の被害が広がったのだろうか。

日本人のカード情報も流通する闇サイト「ダークウェブ」とは?

匿名性の高い闇サイト群「ダークウェブ」は、発信元の特定が困難な違法サイトの総称で、特殊なソフトがないと閲覧できない。ダークウェブ上には、違法薬物・銃器の取引やマネーロンダリング、クレジットカード番号やセキュリティコードなどの情報を売買する闇市場が複数存在する。セキュリティの専門家によると、カード情報は1件あたり数ドルで売買され、とくに与信力が高いとされる日本人のカード情報は1件あたり10ドル超、有効期限が長いと100ドルほどで売買されることもあるという。

クラウドファンディング,ソーシャルレンディング,マネセツ

ダークウェブに流通するカード情報は、今回のPayPayの不正利用にも使われた可能性が高く、警視庁では今後さらに調査を進めるとしている。しかし、ダークウェブ上で行われるカード情報の売買は、それぞれの身元を特定するのが難しく、過去に摘発されたケースもほとんどないことから、実態の解明は難航するとみられている。

セキュリティ対策の甘さが露呈したPayPayの登録システム

さらに今回の不正利用には、アプリにクレジットカード情報を登録する際の仕組みも悪用されており、PayPay側のセキュリティ対策の甘さも浮き彫りとなった。

登録サイトへのログインやネット上のクレジットカード決済システムは、パスワードや3桁のセキュリティコードを何度も間違えて入力すると、ロックがかかる仕組みになっている場合が多い。しかし、当初のPayPayのアプリでは、間違ったセキュリティコードを複数回入力してもロックがかからず、何度も繰り返して入力できる仕組みになっていたのだ。こうした登録システムの隙をついて、数字の組み合わせを手当たり次第に試し、正しいコードを探り当てる「総当たり攻撃」が行われたとみられている。

すでに同社ではコードの入力回数に上限を設け、登録時にカード会社に登録したパスワード入力を求める「3Dセキュア」を追加導入するなど、不正利用防止の改善策を実施している。さらに、クレジットカードの不正利用があった場合、カード会社から顧客への請求停止や返金の措置を行い、PayPay社がカード会社に返金額の全額を補償すると発表。カードを所有する一般消費者に対しても、身に覚えのないPayPayでのクレジットカード利用があった場合は、すみやかにカード会社に連絡するよう呼びかけている。

クラウドファンディング,ソーシャルレンディング,マネセツ

次世代セキュリティ対策についても官民一体で推進を

日本クレジット協会によると、クレジットカードの不正利用被害額は、2000年の308億円をピークに減少が続いていたが、2012年の68億円から増加に転じて年々拡大し、2017年には236億円にのぼったという。近年の被害額の拡大について、同協会では「ネット上でのカード決済が広まり、カード本体を偽造しなくても不正利用が可能になったため」と分析している。

続きは会員限定です。無料の読者会員に登録すると続きをお読みいただけます。

Ads by Google

この記事が気に入ったらいいね!しよう
INSIGHT NOW!の最新記事をお届けします

LEADERS online

LEADERS online

南青山リーダーズ株式会社

専門家による経営者のための情報サイト

フォロー フォローしてLEADERS onlineの新着記事を受け取る

一歩先を行く最新ビジネス記事を受け取る

ログイン

この機能をご利用いただくにはログインが必要です。

ご登録いただいたメールアドレス、パスワードを入力してログインしてください。

パスワードをお忘れの方

フェイスブックのアカウントでもログインできます。

INSIGHT NOW!のご利用規約プライバシーポリシーーが適用されます。
INSIGHT NOW!が無断でタイムラインに投稿することはありません。