前々回、前回とセキュリティ事件に関するテーマをお伝えしてきました。
そうした中、昨年12月18日(火)放送の「ワールドビジネスサテライト」(テレビ東京)でPayPay(ペイペイ)のずさんなセキュリティ対策について取り上げていたのでご紹介します。
スマホを使った決済サービス、PayPayでクレジットカードが不正に利用される被害が相次いで発覚しました。
昨年12月100億円の大規模な還元キャンペーンを打ち出し、顧客の獲得に大きな成果を上げたPayPayですが、安全性に問題はなかったのでしょうか。
「PayPayで50万円近く不正利用されていました。」
ツイッターにつぶやかれた一言、その被害者に番組が連絡してみると次のようにおっしゃっています。
「ツイッターで私より先に不正利用に遭った方のツイートを拝見して、自分も確認したところ、(大手家電量販店で)7件、44万円相当の身に覚えのない明細が上がっていました。」
「不正利用がカード会社で分かったみたいで、その場合は補償しますと。」
昨年12月4日から13日まで行われたPayPayの総額100億円還元するキャンペーン、PayPayによると数十件の不正利用が報告されたということです。
セキュリティの専門家によると、今回の不正の原因は、発信元の特定が難しい闇サイト、ダークウェブにあるといいます。
実際、セキュリティ会社が調査したダークウェブサイトには、「PayPayで登録出来るクレカ(クレジットカード)情報売ります。」とあります。
このようなサイトからクレジットカード情報を入手した何者かがPayPayで買い物したと見られます。
今回の不正利用はPayPayからの情報流出ではないものの、専門家はPayPayの安全性に疑問を投げかけます。
ITジャーナリストの石川 温さんは次のようにおっしゃっています。
「名前も入れなくていいですし、クレジットカード会社の場合ですとIDパスワードを別に作ったりしますけど、そういったものもいらないというところで言うと、非常に登録し易くて簡単なんですけども、一方でセキュリティが甘くなっていた・・・」
「国としてはキャッシュレス化を進めようとしている中で、大分キャッシュレス化に泥を塗ることになるので、信頼回復に努めるしかない・・・」
PayPayのアプリには、クレジットカードのセキュリティコードを入力する際、繰り返し間違えてもロックがかかる機能がなかったといいます。
数字の組み合わせを手当たり次第に入力してセキュリティを突破した可能性も指摘されます。
PayPayは問題を受け、入力回数に上限を設けるなど、アプリを修正、今後システム面も含めて安全対策を万全にしていくとしています。
以上、番組の内容をご紹介してきました。
次にその後のPayPayによる安全対策については、2月4日付けネットニュース(こちらを参照)の内容を以下にご紹介します。
PayPayは2月4日、クレジットカードにおける不正利用対策を発表しました。
同日から、カード利用の上限額を30日間以内本人認証前5000円、本人認証後5万円の上限を追加しました。
カード利用の上限額として新たに、24時間以内本人認証前は5000円、本人認証後2万円の上限も追加しています。
同日行われた第2弾100億円キャンペーン発表会時に、中山 一郎社長が明らかにしたものです。
中山社長は、「第1回目の100億円キャンペーンで、皆様に新しいQR決済に親しんでいただくと同時に、事前に流出したカード情報を悪用する事例が起き、深く反省している。今回、カード会社と連携し、不正被害額をPayPayが全額補償する」と説明しました。
この事態を受け、同社では、セキュリティコードを含むカード情報の入力回数制限を昨年年12月18日から実施し、盗用されたカード番号と有効期限、セキュリティコードの3点が総当たりされるリスクを防止するといいます。
更に、本人認証サービス(3Dセキュア(*))を1月21日に導入しました。
* インターネット上でクレジットカード番号・有効期限以外に各クレジットカード会社から発行されたインターネット専用のID・パスワードを購入者が入力し、クレジットカード決済を行う仕組み
以上、記事の一部をご紹介してきました。
そもそもスマホを使った決済サービスのシェア拡大のためにいくらユーザーの利便性を考えたとしても、当初PayPayのアプリには、クレジットカードのセキュリティコードを入力する際、繰り返し間違えてもロックがかかる機能がなかったということはセキュリティ対策がずさんだったと言わざるを得ません。
一方で、発信元の特定が難しい闇サイト、ダークウェブでの個人情報の売買はいくらアプリ側での情報流出対策がなされたとしても防ぐことは出来ません。
こうした状況下においても、ペーパーレスを可能にし、サービス業における生産性向上を進めるために電子決済サービスを普及させることは必須です。
そのためには前々回、前回とお伝えしたリスク対応策が求められます。
こうした対応策とは別に、以前もお伝えしたように、電子決済サービスには番組で紹介されたようなリスク対応策が個別に求められると同時に、以下のようなコンティンジェンシープランが必要だと思います。
つまり、電子決済サービスが行われた際に、あらかじめ登録されたメールアドレスにその内容をリアルタイムで通知する機能を持たせるのです。
それによって、ユーザーは身に覚えのない買い物に気付き、即座に電子決済サービス業者に連絡することによって、その後の適切な対応策を取ることが出来るのです。
今回ご紹介したような事件が度重なると、国が進めるキャッスレス化に大きな影響を与えてしまいます。
ということで、電子決済サービス業者には、利益優先ではなく、もっとユーザーに寄り添ったセキュリティ対策を常に真剣に検討していただきたいと思います。