PayPay 関連のクレジット被害
2018/12/27
以前、PayPay のキャンペーンのことや
そのリスクやセキュリティについて
このブログで触れていました。
そんな矢先、予想外のところで被害が生じていると
ニュースを見て知りました。
クレジットカードの成りすまし利用
といった感じですかね。
このブログで PayPay について触れていましたし
セキュリティについても触れていましたので
このクレジットカードの成りすましについても
少し触れておきますね。
スポンサーリンク
他人のクレジットカードを登録して利用
まぁ既にニュースでは話題になったので
多くの人がご存知と思いますが
念のため何が起こっていたのかおさらいです。
本来、PayPay はスマホにアプリをインストールして
そのアプリで利用者のクレジットカードを登録することで
アプリによる QR コード決裁が完了すると
自分が登録した自分のクレジットカードが使われる
といった仕組みです。
今回の成りすましは
PayPay ユーザが第三者のクレジットカード情報を登録して
PayPay アプリを利用して決裁しており、
第三者には気付かれない状態で
成りすまし利用されていた訳です。
何でそんなに簡単に
他社のクレジットカードを登録出来るのか
といったところが焦点ですね。
どうやら既に ver.up したみたいですが
PayPay アプリ、
クレジットカード番号と認証コードの入力、
何度間違えても続けて入力出来る仕様になっていました。
しかも入力したカードの名義が PayPay に登録する名義と
異なっていても問題なく使えたように思えます。(記憶怪しいです)
ダーク・ウェブによる被害、か ?
PayPay アプリが前述のような仕様だったため
悪意のある利用者が総当りを試みて
他人のクレジットカードを成りすまし利用していた
という見解がある一方で
若干の疑問も残ります。
クレジットカードの情報の入力について
入力誤りが連続する場合に制御しないアプリやサービスなんて
世の中他にもありそうに思えました。
つまりそちらでも総当りを繰り返すことで
利用可能なクレジットカード情報を割り出すことも可能です。
もしくは、総当りで試行を繰り返す際
有効なクレジットカードかどうかの判定ロジックとして
アプリで弾く方法とクレジットカード会社のサーバで弾く方法が
考えられますが、
アプリで防ぐには世の中の発行済クレジットカード番号のリストを
何かしらの方法で控えるなりサーバから取りに行く必要があります。
またその場合においても、
カード裏面の 3 桁のコードの正誤は
クレジットカード会社のサーバでしかわからないでしょうから
アプリで入力された情報はクレジットカード会社のサーバに
正誤を問い合わせていそうですね。
ということは、総当りを試みると
クレジットカード会社の方で異常に多い試行回数を検出出来て
ガードをかけることも出来そうに思えます。
なので、総当りでの入手はあまり実施されていないように思えます。
私がたまたま見かけたニュースでは
ダーク・ウェブで流通した個人のクレジットカード情報を
悪意あるユーザが購入して成りすましに利用した
といった内容でしたが
この内容の方が自然に思えました。
で、この被害になると、何も PayPay だけに限った話ではなく
他人のクレジットカードが通信販売サイトで使われた
といった話でしかありません。
ちなみに、ダーク・ウェブって何 ?
と疑問に思った方も居ると思いますが
詳しくは他の web サイトとかで調べてみて下さい。
違法性のあるものが売られている市場、というのが概要説明です。
