PayPayが不正利用される原因・対策・対応を紹介!エンジニアが見たPayPayのセキュリティの甘さ【キャッシュレス化でまた起きた不正利用】
PayPayの不正利用の理由や対策・対応方法を紹介 – PayPayの不正利用はエンジニア視点ではどう見えるのか!?
2018年10月から、スマホで手軽に決済ができるPayPayがリリースされ、「100億円あげちゃうキャンペーン」などがCMやSNSで取り上げられることで、急激に普及されてきました。利用者が拡大するなか、「PayPayの不正利用によるクレジットカード決済の請求が来た!」という被害者が出てきています。
そこでシステムエンジニアから見た以下のような内容を紹介したいと思います。
- なぜPayPayの不正利用が起きているのか
- どうすればPayPayの不正利用を防げるのか
- システムエンジニア(SE)視点からPayPayのセキュリティ
- 目次 -
PayPayとは
PayPayはソフトバンクとヤフーが出資しているPayPay株式会社からリリースされている、スマホで決済出来るアプリのことです。CMをはじめとするマスメディアにより広く認知されるようになりました。
社会のIT化にともない、現金を持たないキャッシュレス化の波が着実に進んでいますが、PayPayの宣伝効果は大きく、日本のキャッシュレス化を大きくイメージづけるものとなりました。
PayPayの不正利用の被害者が次々と発生している
利用者が増えてきたPayPayですが、一方でPayPayの不正利用が相次いで確認されました。
被害者はPayPayを利用していない人にまで及んでいます。PayPayを利用していない人でもクレジットカード情報を勝手に利用され、不正利用者のPayPayアカウントでクレジットカードが利用されています。
なぜPayPayの不正利用が起きているのか
ではなぜPayPayの不正利用が相次いで確認されたのでしょうか?
被害が起きてしまった理由は2つあります。
- クレジットカード情報の流出
- PayPayのセキュリティ不備
PayPayの不正利用が起きた理由1:クレジットカード情報の流出
PayPayの不正利用が起きた理由の1つが、PayPay以外からのクレジットカード情報の流出です。
今回のPayPayの不正利用において、被害者になり得る人はPayPayの利用有無に関わらず普段からクレジットカードを利用している人です。
クレジットカードを普段から利用する際に、気付かないうちに悪い店員や悪いシステムなどによりカード情報がコピーされてしまうケースがあります。このようにPayPayの利用有無にかかわらず、クレジットカードを通常利用する際に盗まれてしまったクレジットカード情報が、PayPayで不正利用されてしまうのです。
PayPay不正利用が起きた流れ
1.クレジットカードを普段から利用する際に、クレジットカード所有者が気付かないうちに悪い店員や悪いシステムなどによりカード情報がコピーされる。
2.盗まれたクレジットカード情報を利用して悪用者がPayPayアカウントを作成し、好きなだけ買い物をしてしまう。
PayPayの不正利用が起きた理由2:PayPayのセキュリティ不備
PayPayの不正利用が起きたもう1つの理由は、PayPayのシステムのセキュリティ不備です。
通常の場合、クレジットカードを利用する決済システムはクレジットカート情報を入力する際に3桁のセキュリティコードの入力を求めます。このセキュリティコードを何回か間違って入力すると、不正利用の恐れがあるためシステムによってアカウントをロックして利用できなくするセキュリティ対策が施されています。
しかしながら、PayPayには上記のようなセキュリティ対策が施されていませんでした。そのため、何度でもセキュリティコードを入力し直して認証を試すことができてしまったのです。
0~9までの数字3桁の全通りを試してみても、可能性としては1000通りです。プログラミングなどによりシステムを利用して1000通り認証することは非常に容易なため、簡単に不正利用されてしまったわけです。
上記のように、ひたすら違う文字列を入力し認証しようとする行為はブルートフォース攻撃と呼ばれており、セキュリティ分野では有名な攻撃方法です。そのため、ログイン認証や決済を行うシステムには認証回数を限定するような対策をしておくべきなのですが、PayPayの決済システムには対策がなく、そのセキュリティ不備を突かれて不正利用が行われてしまいました。
システムエンジニアとして感じたこと
決済システムでありながらも、基本的なセキュリティ対策をしていなかったPayPayには正直驚きました。しかもヤフーとソフトバンクという大手の出資会社であるにも関わらず、これほどまでに低い品質の決済システムが作られてしまったことが衝撃です。今後大手が提供するシステムであっても、利用者は充分に気を付けなければならないなと感じました。
どうすればPayPayの不正利用を防げるのか
PayPayをはじめとするクレジットカードの不正利用は企業・個人ともに、防ぐための対策を行うことは可能です。
PayPay社が行うべき不正利用への対策
ブルートフォース攻撃への対策として認証回数に制限を行うプログラムを追加することで、対策を行うことができます。しかしながら今回のケースの場合は、決済認証に何回失敗しても、アカウント自体が悪用者によって作成されたものであるため、失敗通知メールが悪用者のメールアドレスに通知されるものだと予想されます。
そのためクレジットカード所有者には全く通知が行かないのでクレジットカードの本当の持ち主が気づくことはできません。
そのためクレジットカード所有者は何もすることができないので、何度か認証に失敗したアカウントは、PayPay社側が対象クレジットカードをブラックリスト化するなどして一時的に制限を設ける必要がありそうです。
なお、PayPayは12/18に上記のような認証回数に制限を設ける対策を実施し公開しました。PayPayはアップデートをして修正データを適用しないとPayPayアプリが利用できなくなりました。これにより今回起きたようなブルートフォース攻撃を利用した不正利用を防ぐことができます。
以下は実際にPayPay社で公式に発表されたアップデートの案内になります。
PayPay社で公式発表されたアップデートのお願い:
個人が行うべき不正利用への対策・対応
PayPayアプリによる今回の不正利用については、PayPay社が対策を行ったので特に必要はありませんが、以下のような対策をすることで、日頃からクレジットカードの不正利用に対する対策・対応を行うようにしましょう。
1.毎月のクレジットカード明細を確認
クレジットカード利用者は毎月のクレジットカード社からの請求書を確認し、明細の項目に不正なものがないかチェックするようにしましょう。
2.実店舗でカード利用時に不正コピーされないように注意する
日頃からクレジットカードを利用する際は店員などに渡す場合は、怪しい行動をしていないか確認したり、認証パスワードなどが覗き見されないように隠して認証しましょう。
3.クレジットカードを登録しているWEBサービスのアカウントに対する不正利用にも気を付ける
実店舗だけでなく、クレジットカードを利用するWEBサービスにおいても充分に注意しなければなりません。最近は偽者のサイトやメールが出回っており、偽サイトにアカウントの情報を入力させるようなフィッシング詐欺が流行しています。(詳しくは下記のフィッシング詐欺が確認された迷惑メールの紹介ページを参照)
アカウント情報が流出しないように充分に注意しましょう。
主なフィッシング詐欺が確認されている迷惑メール
- OMCカードWEBサービスご登録確認の迷惑メールへの対応・対策 -【重要:必ずお読みください】というメールに注意!
- お客様のアップル請求情報が更新され、Apple IDで不審な旨の通知が送信されました. Appleを装った迷惑メールへの対応・対策【プロのSEが解決】
- 異常な活動 – アカウントを保護して下さい。Amazonを装った迷惑メールへの対応・対策【プロのSEが解決】
- LINE緊急問題というメールの対応・対策【プロのSEが解決と迷惑メールの状況を報告】
- 《セゾン》netアンサービスご登録確認という迷惑メールが届いた時の対応・対策【ITニュース】
- MUFGカードの迷惑メール「WEBサービスご登録確認」によるフィッシング詐欺への対応と対策【ITニュース】
もしPayPayの不正利用が起きてしまったら
PayPayの不正利用により不正な請求がクレジットカード会社から届いた場合、PayPay社が掲載している以下の対応を行いましょう。
要は「不正利用されたら、クレジットカード会社に連絡」だそうです。連絡する前に「本当に身に覚えが無いか確認してね」ということが掲載されています。
キャッシュレス化でセキュリティの低さが露呈した年
2018年はコインチェック社における仮装通貨の流出をはじめ、PayPayも含めたキャッシュレス化のセキュリティ不備が目立った年となってしまいました。
今後もキャッシュレス化の流れは避けられないと思いますが、充分に気を付けて利用するようにしましょう。