« キャッシュレス社会の課題 | トップページ | PayPayのSMS認証を匿名でする方法を考えてみた »

2018年12月12日 (水)

PayPayでクレジットカードの不正利用

さっそくPayPayの悪用があったようです。

12/16 追記

登録していても被害に遭ったとの人もいるので複数アカウントに登録できるのかもしれないので注意した方がいいですね。

 

 

クレジットマスターによる番号の割り出しか流出したクレジットカード情報による登録により不正利用と思われます。
ページの下のコメント欄にクレジットマスターではないのではないかというコメントをいただいたのと、推測で書いていたのでこの部分は修正しておきます。ただ、非主流の方法ですが他のサイト等でも全くない攻撃ではないので明細をこまめに見るなど気をつけた方がいいとは思います。

電話番号とパスワード以外にもYahooのIDでもPayPayは登録できるようですが、初回登録にSMSによる認証があるため不正ログイン対策としても使われていれば不正ログインの危険性は低いと思われるためクレジットカードを勝手に登録されての不正利用が今後も起こる可能性はありそうですね。

追記

カード番号総当たりに引っかかっている人がいるようなので少し補足。

引用元のツイートの改変はするわけにはいかないのでそのままですが、最近増えているクレジットマスターと呼ばれるプログラムで番号等の組み合わせを調べるソフトを利用したものの可能性があるとサポートに聞いたのではないかと考えられます。

クレジットマスターでの被害?: 独房の中
http://f36type.cocolog-nifty.com/blog/2018/11/post-0586.html

また、PayPayは3万円以上の利用の際は本人確認の書類が必要ですが、PayPayアカウントの確認の場合だと第三者のクレジットカードを登録された場合の確認作業が無いため3万円以上の買い物も簡単にされる危険性が考えられます。

3万円以上のお支払いをする場合の注意点 – PayPayからのお知らせ
https://www.paypay-corp.co.jp/notice/20181203/01/

追記

http://b.hatena.ne.jp/entry/f36type.cocolog-nifty.com/blog/2018/12/paypay-f702.html

はてブの方にPayPayの関係があるのかとのコメントがついていたので追記しておきます。

基本的にPayPayどうこうという意味は無く、どのサービスでそういった攻撃があるのかというのを書いているブログです。また、今回のPayPayの件ではカード情報ではネット通販での被害だったものが実店舗でも被害がでるという新規性はありますけどね。

12/14 追記

被害者が複数確認できますね。

 

 

 

 

 

 

 

追記

年末で忙しいのと体調不良であちこちのコメントなどをあまり見ていませんが、PayPayは利用されただけで悪くないという意見も結構あるようですが、個人的にはPayPay側にも簡単に利用できるようにしたために悪用されやすいシステムを作ったという問題があると思います。

ネットでのクレジットカードの不正利用対策として3Dセキュアのような対策を利用しているサイトもありますが、現状ではPayPayはそれを回避する決済手段として悪用される恐れがあります。

12/16 追記

公式から対処法の発表がありました。事件についての詳細な発表も出ればいいんですが。

クレジットカードに利用した覚えのないPayPayからの請求がきた
https://support.paypay.ne.jp/consumer/s/article/10003

12/17 追記

ITジャーナリストの三上洋さんがUstTodayで解説していましたのでリンクしておきます。

UstToday vol.450 - YouTube
https://youtu.be/hjWy7ui59L8?t=1800 

12/21 追記

クレジットカード支払いが月に5万円までと制限するようです。アプリ更新後も被害が出ているので(過去分の請求で再調査、怪しいものに連絡をしている?)制限をつけることで流出したカード情報の利用されても高額被害を出にくくさせようという意図だと思われますね。

 

メールだけでなく公式サイトでも公開されました。

クレジットカードご利用時の上限金額の設定について – PayPayからのお知らせ
https://www.paypay-corp.co.jp/notice/20181221/01/

12/27 追記

1月から3Dセキュア対応にするとの発表がありました。また被害も100件以上とのことです。

3Dセキュア(本人認証サービス)の対応と、クレジットカード不正利用への補償について - PayPayからのお知らせ
https://paypay.ne.jp/notice-static/20181227/01/

« キャッシュレス社会の課題 | トップページ | PayPayのSMS認証を匿名でする方法を考えてみた »

情報セキュリティ」カテゴリの記事

コメント

>よく考えたらクレカ番号、たった3桁のセキュリティコード、有効期限のみでオッケーだから危なすぎるわ。カード名義はいらないし。なんてバカなんだ私

いや、paypayに限らんやろそれ…

クレジットマスターではなく
番号、有効年月日、CVVをセットで入手しております。

登録さえすれば、与信枠の範囲で購入ができます。

登録が一発でできることは少なく、ある程度の試行回数を行って登録成功するケースが多いので、カード登録logを参照すれば高確率で不正アカウントを見定めることは可能でしょうね。

類似アプリでも同様のものが可能でした。規模が違うのであまり話題にはなってないようですが。。。


追記に関してはまさにそのとおりです。利便性を追求するあまりああいった仕様にならざるを得無かったのでしょうね。

3桁のセキュリティコードを無限回数試せてしまうのが悪い。
paypay側も無罪とは言えない。高額決済の必要はない 0.5%還元でクレジットカードより悪いんだから
クレジットを使って決済するよね普通。
したがって paypayを使っての高額決済はありえない。

もさんコメントありがとうございます。

クレジットマスターではなさそうですか。
こちらは被害にあった人からの情報から推測するしかない状況ですから正確なところは公式から発表してもらえればいいんですけどね。
類似アプリでも同様の問題がありますか。このブログでは脆弱性診断ではなくネット上でトラブルの起こっているものを見つけて原因を探るという形で情報収集と分析に時間をかけていて他のところまでなかなか手が回らない状態ですので他に調べる人がいると助かります。
今回のことで全体のセキュリティの底上げになればいいんですけどね。

3桁のセキュリティコードさんコメントありがとうございます。

悪用しやすい部分があったので、このままだとPayPayを利用すると不正利用と判定されてカード停止状態になりかねない事態ですから、クレジット支払いがなくなるかもしれないですけどね。

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« キャッシュレス社会の課題 | トップページ | PayPayのSMS認証を匿名でする方法を考えてみた »