PayPayで約50万円のクレカ不正利用の被害に遭いました【原因と対策】

PayPayで約50万円の不正利用の被害に遭いました

2018年12月11日〜14日にかけてtwitterでなにやらPayPayの不正利用に関する不穏なツイートをたくさん見かけました。

PayPay 経由で僕のクレジットカードが不正利用されたようです。カード番号総当たりでたまたま被害にあった可能性があるとの事。みなさんもお気を付けて。

— 🍃🥜🗼sola🗼🥜🍃 (@sola_io) 2018年12月12日

paypay経由でクレカ不正利用された
カスタマーセンターから不審な利用があったと連絡をもらって発覚して利用額約40ﾏｿ

海外サイトで利用トライ→セキュリティコード違いで使えないがカード番号の存在を確認→paypayの決済にカード番号を使用
こんな流れのよう

— zaorinne (@zaorinne) 2018年12月12日

paypay 経由でカード80万円不正利用されちゃいました。カード会社からの連絡はなく、マネーフォワードに上がってきて気づいた。
被害が多発してるみたいなので、皆様もお気をつけください！
僕は、他のカードも明細チェックしようと思います。

— ルール (@rulearc) 2018年12月13日

嫁さんのカードがpaypayで不正利用されたみたい。50万以上。カード会社にも問い合わせ結構来てるとか。ってかpaypayどーなってるの？

— おにせん (@onigiri019) 2018年12月13日

というわけでPayPayで15万ほど不正利用されました。

— 氷川桜 (@sakura_nekocha) 2018年12月12日

自分の場合はクレジットカード会社からアラートはあがっていなかったので、大丈夫だろうと高をくくっていたのですが、念の為クレジットカード会社のウェブサイトの明細速報を確認してみると、見たこともない驚きの金額が表示されていてビックリしました。

わたしの場合12月11日にヤマダ電気で439,089円が不正利用されました。

これが不正利用のスクショです。

PayPayキャンペーンの最大還元額25万円以上利用されているので、PayPayキャンペーンの還元目的ではなく、転売目的でクレジットカード登録が甘いpaypayアプリが利用された模様です。

どこかで入手したクレジットカード番号の不正利用方法としてPayPayが狙われました。

それでは今回起こったPayPay不正利用の手口と原因、対策方法を見ていきましょう。

PayPayの不正利用の手口

クレジットカード情報を不正に入手したとしても、クレジットカードにはICチップも埋め込まれており、偽造クレジットカードを作るのは容易ではありません。

ネットでクレジットカードを不正利用しようとしても、決済用のパスワードや3Dセキュアが必要で、クレジットカード番号とセキュリティコードだけでは決済できません。

そこで今回狙われたのがPayPayです。PayPayの支払い設定にクレジットカードを登録するのはクレジットカードの券面に記載されている情報だけでできてしまいます。

PayPayで認証コードやパスワードの入力等は登録・支払い時どちらも必要ありません。

さらにネット決済と違い、すぐにモノが手に入り転売しやすく足がつきにくいところも今回不正利用で狙われたポイントかと思われます。

PayPayの不正利用の原因

PayPayの発表は「情報流出した事実ない」ということです。

PayPayで「クレジットカードを不正利用された」報告相次ぐ　PayPay「情報流出した事実ない」　被害の声はサービス未登録者からも｜BIGLOBEニュース

スマートフォン決済サービスの「PayPay」で、見に覚えのないクレジットカード利用があったとの報告がTwitterで相次いでいる。PayPay社に確認したところ…（2018年12月14日 19時48分40秒）

news.biglobe.ne.jp

PayPayを利用していないユーザーも被害に遭っていることからも、PayPayから情報流出はしていないということが伺えます。

PayPay経由クレジットカード不正利用が横行している。さっきクレジットカード会社から「PayPay利用の買い物をしましたか？」と確認電話が入った。PayPayなんて使ったことないし、そんなニュース、他人事かと思っていたら自分も被害者だった。50000円弱😢、ソッコー請求取り下げと再発行手続き！超迷惑 pic.twitter.com/amkj2MfKi4

— Agⓡn (@imitation_agul) 2018年12月14日

たしかに不正利用の大元の原因はPayPayではなく、クレジットカード番号を流出させたサイトや店舗にあります。

最近(2018年12月)でもホテル大手のマリオット・インターナショナルで、5億人分の利用者の個人情報がハッキングによって流出したというニュースもありました。

しかし今回の不正利用の原因の一つとしてPayPayのクレジットカード登録のザルさによるところはかなり大きいです。

なぜならPayPayの支払い用クレジットカード登録は、以下の情報だけでできてしまいます。

PayPayアプリにクレジットカードを登録する際にパスワードの入力や二段階認証もありません。

またPayPayのクレジットカード番号とセキュリティコードの入力は何百回でも無限に入力できてしまいます。通常クレジットカード番号の入力は何回か間違えると入力停止になるのですが、そういった仕組みもありません。

他人のカード番号を割り出すクレジットマスターでクレジットカード番号を入手したあと3桁のセキュリティコードを手動で適当に入力すれば、1000回以内にそのうち正しい数字に当たってしまいます。

さらに同一クレジットカードを複数アカウントに登録できてしまうという、かなり甘い仕様です。わたしの場合もすでに自分のPayPayアカウントに登録してあるクレジットカードが不正利用されていました。

すでに登録済みのクレジットカードを第三者が登録しようとした時に弾いてくれれば、不正利用されずにすんだかもしれません。

またPayPay支払いで3万円以上になる場合は本人確認が必要とのアナウンスがありましたが、わたしが実際に3万円以上の決済をおこなったときは本人確認がありませんでした。

さらに言うとわたしのクレジットカード情報を利用したPayPay支払いで、本人確認のために赤の他人の免許証を見せたとしても、店員さんもアプリで照会できない仕様なので、そのまま決済できた可能性はかなり高いです。

このことも今回高額決済の不正利用に狙われた理由の一つです。

PayPayの不正利用の対策方法

今回の不正利用に対しての対策は、クレジットカード情報を無闇やたらに登録しない、券面情報を見せないといった一般的な方法で自衛するしかありません。

あとは、こまめに利用明細を注意して確認して不正利用があれば、すぐにクレジットカード会社に連絡するくらいしか対策方法がありません。

だけでクレジットカードをPayPayの支払いに設定できたので、物理的にカードを見ることができれば、誰でもクレジットカードを不正利用できてしまいます。

ということはもし悪意のある店員さんがいれば、お店の支払いでクレジットカードを使っただけでも不正利用できるということです。

PayPayアプリまったく利用していなくても被害に遭った人がいたのはそのためです。

JCB（yahooカードのみ）、VISA/masterクレカ持っている人は全員被害に遭う可能性があるので今一度明細チェックしておきましょう。

どこかでクレジットカード情報が流出した可能性がある人は、PayPayアプリを利用していなくても、不正利用されている可能性があります。

PayPayの不正利用の被害に遭ったら

まずはクレジットカード裏面に記載されている緊急電話番号に電話をかけ、不正利用されていることを伝えましょう。

調査に時間はかかりますが基本的に不正利用された金額は補償されます。

ただし、カード会社への連絡が被害から60日を過ぎると補償の対象外になることもあるので、とにかく早く連絡を入れましょう。

不正利用された金額はカード会社によって、即時返金される場合や不正利用の調査後、確認が取れた時に返金される場合などがあるのでカード会社に確認しておきましょう。

また、不正利用されたクレジットカード番号は廃止となり、再度新しい番号になったクレジットカードが届くまで利用できません。ANAカードやJALカードの場合、マイレージ番号も変わるので再度登録が必要です。（マイルはなくなりません）

カード番号が変わるので、毎月の支払いに設定しているカードの場合、再度登録が必要なので忘れずにおこないましょう。

三井住友VISAカードの対応

わたしが被害に遭ったクレジットカードは「三井住友ANAワイドゴールドカード」でした。

カード会社にPayPayであった今回の不正利用の件を伝えたところ、事件については把握しているようでした。

三井住友VISAカードでは以下のような対応になりました。

被害に遭われた方はお早めにご対応ください。

まとめ

以上、PayPayで約50万円の不正利用の被害に逢いました【原因と対策】でした。

繰り返しになりますが、PayPayアプリを利用していなくてもJCB（yahooカード）、VISA/MASTERカードを利用している方は、誰でも被害に遭う可能性があります。みなさまも今一度、お使いのクレジットカードのサイトで利用明細を確認しておきましょう。