ニュース 2018.12.21 スマホアプリ決済でクレカ不正使用相次ぐ――PayPay利用に限らず被害発生

　PayPayとは、ヤフーとソフトバンクの合弁会社が10月に始めたばかりの、スマートフォンのアプリを使った決済サービスのこと。アプリにあらかじめチャージしておいた残高や登録したクレジットカードなどを使い、実店舗でもキャッシュレス決済が行える。

　12月4日から総額100億円を還元する「100億円あげちゃうキャンペーン」を実施したが、クレジットカードの不正使用はその最中に起きた。同社からの情報流出はなく、被害がPayPay利用のいかんにかかわらず発生していることから、第三者が何らかの方法で入手したカード情報を勝手にアプリに登録し、家電量販店などで使用したものとみられる。最近起きたポイントカードアプリの不正使用や、コンビニ受け取りを悪用した通販の不正購入とも通ずる、実店舗が舞台のネット犯罪だ。

　不正使用されたカード情報の出所は、今のところ判明していない。PayPayで利用できるクレジットカードは、各カード発行会社のVISAとMastercard、およびYahoo! JAPANカードなので、これらをお持ちの方は、カード会社の利用明細に注意したい。もし身に覚えのないPayPayからの請求が見つかったら、速やかにカード会社に連絡していただきたい。

　不正使用を引き起こした要因として、PayPay側のセキュリティの甘さがいくつか指摘されている。アプリに携帯電話番号とクレジットカード情報（クレジットカード番号、有効期限、セキュリティコード）を登録すれば決済できるようになる。アプリの登録者やクレジットカードの名義人の情報がないので、店頭で本人なのか成りすましなのかは分からず、高額商品を購入して持ち帰られてしまうと足が付きにくい。

　同種の決済サービスである「d払い」や「LINE Pay」では、クレジットカードの登録時に、カード会社が提供するオンライン時の本人認証サービスを利用しているが、PayPayは利用していない。本人認証サービスは、Visaが「VISA認証サービス」、Mastercardが「Mastercard SecureCode」、JCBが「J/Secure」、American Expressが「American Express SafeKey」と呼んでいるもので、カード利用時に各カード会社のサイトに移動し、事前に登録したパスワードや使い捨てのワンタイムパスワードで認証を行い、カードの持ち主本人であることを確認する。

　アプリ側に「楽天ペイ」のようなセキュリティコードの入力制限がなかったので、カード会社側が不正を検出しない限り、際限なく試行できた。セキュリティコードは、カードの裏面などに記載された3～4桁の数字のこと。カードの磁気情報に含まれていないため、磁気情報を読み取るスキミングによる不正使用防止に効果がある。これが際限なく入力できると、次々に試行することで探り当てることができてしまう。これについては、アプリが更新され、現在は入力制限が付いた。

　クレジットカードの不正使用は、今回に限った問題ではない。日本クレジット協会がまとめた番号盗用型の不正使用被害額は、2017年第一四半期に前期の20億7千万円から40億3千万円に跳ね上がり、その後も45億円前後の高止まりが続いている。カード情報の流出はたびたび起き、カード情報を狙うフィッシングも横行している。

　プラスチックのカードを所持している前提がネットの普及で崩れ、スマホアプリの台頭で今度は店頭からも姿を消そうとしている今、カード会社と決済サービスは一丸となり、より安全性の高いサービスの提供に努めていただきたい。私たちユーザーにできることは、利用明細の確認を怠らないことと、騙されないようにすることだ。

【関連URL：PayPay】
・身に覚えのないクレジットカードの請求がきたら（12月14日）
https://www.paypay-corp.co.jp/notice/20181214/01/
PayPayアプリ アップデートのお願い（12月18日）
https://www.paypay-corp.co.jp/notice/20181218/01/
・お客様へのお詫び（12月19日）
https://www.paypay-corp.co.jp/notice/20181219/01/

【関連記事：セキュリティ通信】
・コツコツ貯めたポイントが突然消失――店頭でカードアプリ不正使用相次ぐ
https://security-t.blog.so-net.ne.jp/2018-10-26
・通販サイトで「高額商品略奪」発生、ユーザーにできる自衛策は？
https://security-t.blog.so-net.ne.jp/2018-08-24

TEXT：現代フォーラム