【PayPay】クレジットカードの不正利用とその対策

2018年12月17日

先日100億円キャンペーンが終了した、スマホとバーコードを利用する新しい決済方法のPayPay。
今回の記事ではこの「PayPay」に起因した、クレジットカードの不正利用について解説します。

クレジットカードの不正利用とは?

現在「PayPayでクレジットカードの不正利用が行われている」と、ニュースで話題になっています。
しかしこのニュースは半分正しく、半分は正しくないと言えます。

――この問題の要点はPayPayにクレジットカード登録を行う際、何度も失敗ができる点にあるのです。

この仕様により、実際に発行されているクレジットカードの情報を特定できるため、
PayPayのみならず、クレジットカード決済に対応している全ての店舗が不正利用の対象となり得ます。

PayPayの「クレジットカード不正利用」はなぜ起きたのか?

クレジットカード特定の流れ

クレジットカードが不正利用されるまで

  • クレジットカード表面の10桁の番号が推測される(先頭6桁はカードの種類のため共通)
  • クレジットカード表面の有効期限が推測される
  • クレジットカード裏面のセキュリティコードが推測される
  • クレジットカードの登録に失敗しても、登録できるまで入力を試される
  • PayPayにクレジットカードが登録される(正しいクレジットカード情報が特定
  • 実店舗でPayPayを利用される、もしくは別のショッピングサイトで使われる

通常のサイトでは、何度かクレジットカードの情報入力に失敗すると登録が拒否されます。
しかしPayPayは何度でも情報の入力が試せるため、時間さえあれば特定が可能な仕様となっています。

しかも過去に「クレジットカード表面の情報が流出した」もしくは「店員に手渡しした」という場合には、
前者であればセキュリティコード総当たりで、後者であれば即PayPayに登録して不正利用ができるのです。

不正利用の対象者

重要な点は、今回の不正利用が「PayPayの利用有無に関係がない」ということです。
対象のカードを所持している場合は「いつ誰にでも」不正利用の可能性があります。

不正利用の可能性がある対象者は、下記の通りです。

1:VISAのクレジットカードを所持している
2:Mastercardのクレジットカードを所持している
3:JCBのYahoo! JAPANカードを所持している

不正利用の可能性が高まる対象者は、下記の通りです。

a:過去に番号が流出したクレジットカードが、現在も有効である
b:クレジットカードの表面を誰かに見られたことがある
c:店員に渡したクレジットカードが視界から消えたことがある

不正利用の可能性がない、もしくは可能性が少ない対象者は下記の通りです。

イ:Yahoo! JAPANカード以外のJCBクレジットカードを所持している
ロ:クレジットカードを店員に手渡したことも、店舗で使用したこともない
ハ:そもそもクレジットカードを作成していない

不正利用の対策

前述のように、今のところ不正利用の対象者は幅広いと言わざるを得ません。
一番有効な対策は「今すぐ対象のクレジットカードを無効化すること」ですが、現実的ではありません。

そのため現実的な対策を挙げるなら「クレジットカードを利用した際に通知が来るように設定しておく」
および「クレジットカードの明細を毎回くまなく確認する」くらいでしょう。

もしクレジットカードが不正利用されたら、必ずクレジットカード会社に連絡することをお忘れなく。

――ちなみにPayPay側で対策がなされていない現時点において、カード番号の変更は無意味。
カード番号が有効になった時点で「PayPayでカード特定 ⇒ 不正利用」の流れがあり得ます。

重複登録について

「PayPayにクレジットカードを登録しておけば、別アカウントで重複登録ができないから安全」

――ネットでこのような噂を見かけたため、検証してみました。
検証結果として「クレジットカードは重複登録できる」と結論づけられます。

つまりクレジットカード番号を特定された時点で、まず為す術がないということです。

重複登録の検証について

  • スマホAとSIMカードAでアカウントを作成し、クレジットカードAを登録する
  • スマホAとSIMカードBでアカウントを作成し、クレジットカードAを登録する ⇒ 登録完了
  • スマホBとSIMカードCでアカウントを作成し、クレジットカードAを登録する ⇒ 登録完了

まとめ

  • PayPayは「有効なクレジットカードの特定ツール」である
  • 今回の問題は「PayPay未使用でも不正利用される可能性」を生み出したことである
  • 不正利用の対象は「クレジットカード所有者のほとんど」である
  • 唯一の対策は「クレジットカードを止めること」だけである
  • 現時点で「クレジットカードの番号変更」には意味がない
  • 不正利用の可能性はPayPayが対策されたのちに、カード番号を変えるまで続く

-スマホ