(OGP画像)
↓今日は何位でしょう?読み進む前にチェック。↓
↓記事が気に入ったらFBのイイネ・ツイート等もお願いします。↓
バナーが表示されない方は、こちらをクリック願いします。(同じものです。)
PayPayにおいて個人情報が流出した、という言い方は適切ではない。
正しくは、PayPayの有り得ない仕様ゆえに「様々なクレジットカードの情報が流出した」という表現だろう。カード番号と3桁のセキュリティーコードがセットで流れた可能性が高い。
昨日、リトライ回数に上限が設けられたが、言い換えれば「それまでは無制限だった」と完全に認めたこととなる。ネット決済などをはじめ、「①カード番号」 + 「②セキュリティーコード」で認証してきたわけだが、僅か3桁である。001~999の千通りしかなく、仮に手動であれ難なく突破されるだろう。
携帯番号とカード情報が紐付けで流れておれば「PayPayを悪用」すれば、セキュリティーコードの検証ができてしまう。何回でも入力できるため、カード券面にしか記されていないはずの3桁の数字がばれてしまうわけだ。
貴方のキャッシュカードが拾われ、ATMで口座の暗証番号が入力されている状況を想像して欲しい。
一定数の誤入力があればロックされるものだが、何回間違えてもロックされない。総当たりでやれば、やがては割られる。しかも3桁。
何パターンかに分けて、不正の状況を考えてみる。
一つ目には、第三者が勝手に登録して、勝手に買い物されるというもの。不正に入手されたカード番号を用いて、(貴方ではない誰かが)PayPayに登録するというもの。驚くべきことに氏名は不要であるため、携帯とカード番号だけでいい。セキュリティーコードは3桁ゆえ、凄まじいプログラム技術などなくても問題ない。手動でも破れる桁数なのだから。
貴方が登録していなくても、PayPayに勝手に登録され、買い物をされてしまうという問題。
二つ目の悪用方法。
こちらのほうがより深刻だ。PayPayでの決済は行わず、セキュリティーコードのみを入手する。総当たりで、セキュリティーコードとカード番号の紐付けを行うためだけにPayPayを悪用するというもの。そして、得られたセキュリティーコードを用いて、ネットショッピング等で換金性の高い商品を購入、転売などで現金化するという方法も想定される。また、カード番号+セキュリティーコードを紐付けたデータそのものを売る可能性だってある。
三つ目の問題点。
実は、カード番号そのものを知ることもできたのではないか。
カード番号がわかればという前提で、一つ目二つ目の問題点を書いたが、カード番号を知らなくても上記はやれてしまう気がする。ここは、ちょっと詳しく書いてみたい。
セキュリティー上の問題では、氏名の入力が不要であったことが致命的だったと認識しているが、実は名前とは高い識別性を持つ。カード番号にしても、携帯番号にしても、またセキュリティーコードにしても「ただの数字」である。0~9の10パターンしかない。名前は、アルファベットであれ仮名であれ、高いセキュリティーを発揮する。漢字であればなおさらだ。かつ、住所があればなおさら強固。今回、これらは不要であったため、「数字で表記できるもの」で済んだ。
実在の携帯番号さえわかれば。
クレジットカード番号を入力し、セキュリティーコードを総当たりで割る。実は、カード番号すらも総当たりできてしまうわけで、カード情報が流出していなかったとしても「悪用される危険性」は排除できない。極論すれば、ネット上で一度も使ったことがないカード番号であってもリスクを内包するわけだ。これが可能であったならば、凄まじい衝撃だ。
AMEXとJCBは対象外だったようだ。(ただし、JCBのyahooカードは除く。)
また、dポイントやauのカード等、他キャリアのものは弾いていた模様。ソフトバンクとyahooのシステムゆえ当然と言えば当然だが、ユーザーの囲い込み対策なのだろう。
だが、それ以外のカードは、どれが不正にあっているのかわからない。
いま悪用されていなくても、セキュリティーコードが抜けた可能性は誰も否定できない。
カード会社は、膨大な数のクレジットカードを再発行せねばならないだろう。
再発行だけで済めばいいが、ブランドとしては大ダメージだ。
VISA・マスターの国際ブランドがサポートしていたが、再発行の規模は凄まじい規模になるのではないか。
(カード会社の)顧客側にもかなりの手間がかかる。
家賃であったり携帯であったり、もしくは様々な公共料金であったり、多くの支払いをカードで行っている方もいる。
再発行すればカード番号が変わるため、全部やり直すしかない。
給料を電子マネーで払うとか、もう何を考えているのか、正直わけがわからない。
安易なキャッシュレス化には反対の立場だけれども、カード決済もインフラ化していることは事実だ。
そもそもセキュリティーコードが僅か3桁で破れてしまうことにも言いたいことはあるが、
利便性と言うか、サービスを利用する際には人力で手動入力が求められるため、無尽蔵に桁数をあげていけばいいというものでもない。
簡便に利用できることはビジネス上のプラスであることは間違いなく、ゆえにこういう仕様なのだろう。
問題は、それが丸ごと流出した危険性があること。
その可能性が排除できない状態にあることが問題だと思います。
(被害額について)
不正利用があった場合には、カード会社が一時的に負担することとなろうかと思う。
商品を渡していたり、もしくは何がしかのサービスを提供をしている以上、店舗側には支払われるべきだろう。
ただし、本人確認が求められていた一定額以上の決済(3万円以上かと思う)であれば、
その確認を怠っていたとして、店舗も一部を負担させられる、または決済を受けられない可能性はある。
カード会社の負担については、一時的という言葉を用いた。
通常であれば、カード会社の負担だけで終わる話であるが、今回はPayPay側の仕様が余りに酷いため、カード会社から請求(状況によっては訴訟)がなされるように思う。
(不正利用されたされた詐欺)
本当はPayPayを利用し、自らが商品を購入したにも関わらず、「不正利用された」と騒ぐ詐欺も起きそうだ。
氏名の入力がなかったため、本人確認と言っても限界があるわけで、(実際には不正利用はされていないにも関わらず)不正利用を訴えて踏み倒す者も出てくるのではないか。
PayPay側では立証のしようもないし、店舗側で全員の顔写真を撮っている(防犯カメラに映るなど)とは思えない。
上記も問題だが、最大の問題は、カード番号+セキュリティーコードが紐付けされた状態で流出した危険性だと思う。
登録していない者までリスクに晒されており、その危険が排除できない以上、履歴を調べる・カードを再発行するぐらいしか自己防衛の方法が思いつかない。
(もしくはカード事態を廃止するだが、職業や生活環境によっては選択不可能だろう。)
PayPayに対して、即時に行政指導を入れて頂きたい。
理由は、PayPayとは無関係のカード決済までもが
多大な危険にさらされているため。
金融庁になるかと思うが、即応して頂きたい。
また、カードを使っている方、持っている方は、
自己防衛として不正利用がなされていないか確認し、
ご面倒ではありますが、カード番号を変えるしかないと思う。(JCBとamexを除く。yahooカードは対象。)
この問題は、結構、厄介だと思う。
リスクを周知するために、拡散をお願いします。
一歩、前に出る勇気。
↓応援クリックお願いします。↓
バナーが表示されない方は、こちらをクリック願いします。(同じものです。)
【支援要請】戦うための、武器をください。
<重要>ブックマークをお願いします。
特にFacebookから閲覧してくださっている方にお願いなのですが、一週間の停止を受けました。
次は30日の停止と想定され、更新のお知らせが大きく滞る可能性があります。
【実例】Facebookでアカウント停止。これもアウトなの?【驚いた人はシェア】
重要
せめて一度は、この「音」を聴いておいてください。
・ミサイル攻撃時の、J-ALERTの音源
・【マニュアル】武力攻撃やテロなどから身を守るために(内閣官房)
小坪しんやのHP~行橋市議会議員
桜の会(議長会派):小原義和(公明)、西岡淳輔(公明)、(死没のため略)
市民の会(いわゆる野党会派):藤木巧一、二保茂則、鳥井田幸生、大池啓勝、工藤政宏、瓦川由美、西本国治
共産党会派:德永克子(共産)田中次子(共産)
詳しくはこちら。
私なりのケジメ
【爆破予告】テロに屈した議会に討ち入り。忠臣蔵、切腹の美学。地方議員の覚悟【テロに屈しない人はシェア】
「恐怖におののいた一般の利用者」が、クレジット会社に対して、費用は会社持ちで新カードに更新してもらえないか問い合わせるのも良いかも。
だって、今現在被害にあってなくても、paypay経由じゃなくても、この先、ある日突然、世界のどこかで不正利用される可能性があるんですよね?
手数料が必要です
→ こちらの手落ちじゃないですよね?
無料じゃ無理
→ JCBは大丈夫らしいですよね。ちょっと考えます。
もっと軽めの問い合わせはしたのですが、よくよく考えたら、事態はものすごく深刻ですね。
連投失礼。
中国によるサイバー金融テロの可能性もなくはない気が。
以前の2chへのサイバー攻撃の時も、自分で攻撃するのではなく、ツールを撒いて不特定多数の愉快犯を煽り、そいつらに実行させるという手法でした。
爆弾などを利用したリアルテロでも、やり方や道具を撒いて、狂信者などを煽ってやらせますよね。
(煽ってるのがイスラム過激派とは限らないのがアレですが)
金融制裁に対する報復。
重大な過失を装った故意。
陰謀論気味ですいません。
“PayPayに対して、即時に行政指導を入れて頂きたい。 理由は、PayPayとは無関係のカード決済までもが 多大な危険にさらされているため。 金融庁になるかと思うが、即応して頂きたい。”
日本のキャッシュレスと言えば、Suicaかクレジットカード。上限2万のSuicaはPayPayの敵では無い。一般市場でPayPayに競合するクレジットカードをなんとかしたいと考えたら、、、無制限リトライ設定はPayPay側が”故意”に行った攻撃に見えます。