[2018.12.23 更新]
こんにちは、ひよこ(@yutotte_nambo)です。
先日の100億円キャンペーン終了と同時期に、多くのメディアでPayPayでのクレジットカード不正利用が報道されました。
PayPayアプリのVer.1.4.0あたりで機能改善されたので、今回はそれらに関する話です。
当然ながらブログでもPayPay関係を紹介しているわけで、読者のみなさんにも説明する責任があると感じています。
実際にセキュリティが向上したのか試してみました。
PayPayでのクレジットカード不正利用とは
クレカの不正利用が起きた
問題であるクレカ不正利用についてです。
PayPayでのクレカ登録には「クレジットカード番号」「有効期限」「セキュリティコード」の3点のみで可能でした。
手持ちのカードを登録するためには、上記カード情報が一致していればよいわけです。
これらはただの数字列に過ぎないので、総当たり攻撃でいつかは突破できてしまいますよね。
PayPayはそこを突かれた訳です。
他には、ダークウェブで売買されているカード情報を悪用された可能性もあります。
多くのサービスでは、そのようなことが起きないように、一定回数カード登録に失敗した場合には、再度試行するのに時間をあける必要に迫られます。
24時間空けるとかですね。
さらには、カード名義人の情報を入力させたり、カード発行会社のサイト上で設定済みのIDやパスワードを要求することがあります。
いわゆる3Dセキュアですね。
PayPayの姿勢
基本的にはカード会社に連絡
FAQのひとつとして、PayPayでの覚えのないクレカ利用・請求に関するものがあります。
https://support.paypay.ne.jp/consumer/s/article/10003
身近に知り得るものとして、家族にカード登録をしたか尋ねて、それでも解決に至らない場合はクレジットカード会社への問い合わせをするよう勧めています。
あくまでカード会社にお尋ね下さいという姿勢ですね。
正直なところ、このあたりはカード会社の補償次第といったところです。
3万円以上の決済の場合は
では不正利用における1回の決済額が3万円以上の場合はどうなるのでしょうか。
PayPayでは3万円以上の決済の場合に、身分証明書の提示を求めています。
https://www.paypay-corp.co.jp/notice/20181203/01/
こちらは規約には記載されていないものの、告知はされていました。
アプリ上でも目につく位置にはあります。
PayPayの規約には「PayPay利用規約」と「PayPay加盟店規約」の2つがあります。
利用規約は消費者・加盟店を問わず、PayPayサービス利用者すべてに向けているものです。
一方で、加盟店規約は文字通り加盟店向けになります。
利用者の免責が認められるか、その辺りは何とも言えません。
やはりPayPayが何かしらの対応をするか、カード会社次第というところに落ち着きそうです。
別に弁護士でも何でも無いので、可能性のひとつとして捉えて下さい。
実際の各規約から気になる部分を抜粋しました。
本人確認書類の提示が無いと、3万円以上の決済というサービスを利用できないという解釈をすると、PayPay株式会社に対しては消費者・加盟店ともに文句を言えないという可能性もありそうです。
とはいえ、アカウント作成時には携帯電話番号くらいしか登録していないので、本人確認のしようがありませんが…。
ちなみに規約ではアプリ設計の不備等には特に触れていません。
PayPay利用規約
(https://www.paypay-corp.co.jp/docs/terms/paypay_consumer_terms/)
利用規約 第1編 基本ガイドライン
基本ガイドラインは、PayPay株式会社(以下「当社」といいます)のサービスをご利用になるすべての方に共通して適用されます。第1章 総則
3.サービスの利用制限
当社は、サービスのご利用をPayPay アカウント(以下本章で「アカウント」といいます)を登録された方に限定したり、一定の年齢以上の方に限定したり、当社が定める本人確認などの手続を経て一定の要件を満たしたお客様のみに限定したりするなど、ご利用に際して条件を付すことができるものとします。
また、当社は、反社会的勢力の構成員(過去に構成員であった方を含みます)およびその関係者の方や、マネーロンダリング、その他のサービスの悪用が疑われる方、第三者に迷惑をかけたりするようなお客様に対してはご利用をお断りしています。
PayPay加盟店規約
(https://www.paypay-corp.co.jp/docs/terms/paypay_merchant_terms/)
第17条 (PayPayの不正利用への対応等)
1. 加盟店は、自己の責任において、取引の安全性の確保に努め、当社らが推奨する不正利用の防止措置を講じる等により、PayPayの不正利用に該当しないことの確認を行い、不正利用の防止に協力するものとします。
何が変わったのか
12月18日頃にアップデートが配信されました。
PayPayとしても、セキュリティ対策として告知しています。
同日以降、サービス利用にはアプリのアップデートが必要です。
【重要なお知らせ】
PayPayアプリでクレジットカード情報を入力する際、入力回数に制限を設けました。12月18日以降PayPayアプリをご利用の際は、アプリのアップデートが必要となります。ご不便をおかけしますが、ご協力のほどよろしくお願いいたします— PayPay株式会社 (@PayPayOfficial) 2018年12月18日
これでクレカ不正利用の問題は解決されそうですね…。
あとはアフターケアに焦点が当たりそうです。
4回目の失敗でロックが掛かる
結論から言うと、4回連続の失敗でアカウントは凍結です。
凍結するとカスタマーセンターに問い合わせをする必要があります。
実際にカード登録失敗を繰り返してみた
捨て身でカード登録の失敗を複数回繰り返しました。
1回目の入力に失敗したところ、あと3回失敗すると制限が掛かる案内が表示されます。
つまり4回ミスすると、何かしらの制限が設けられるということです。
続けて3回失敗して、以下の案内が出ました。
カスタマーセンターへの問い合わせの必要があります。
さらに強制的ログアウトとなり、PayPayへの再ログインを試みたところ、電話番号とパスワードが合っているにも関わらずログインできなくなりました。
これはこれで辛いです…。
PayPayサービスを使えなくなりました。
これからも利用することを考えると、セキュリティ向上確認には背に腹は代えられないでしょう。
人柱となりました…。
もしアカウントが凍結したら①
カスタマーセンターに連絡すれば大丈夫です。
公式サイトのこちらのページを参考にしました。
https://www.paypay-corp.co.jp/notice/20181204/04/
PayPayカスタマーサポート窓口のメール対応 = PayPay問い合わせフォーム のようです。
電話では24時間365日対応ですが、夜遅かったので問い合わせフォームにて凍結解除の旨の連絡をしました。
24時間以内にメールの返信がなかったら、電話してみようかなと考えています。
「クレジットカード登録制限の解除依頼」を選択して、ログインすら出来なくなったと伝えました。
「利用制限について」にチェックしても良さそうです。
回答に数日を要する場合があるようですが、同一のケースに陥った方が何名かは居ると踏んでいるので、間もなく返事が来ると考えています。
※返信メールの受信次第この記事をリライトします。
もしアカウントが凍結したら②
[2018.12.23 追記しました]
①の続きです。
19日の23時頃にカスタマーセンターに連絡した訳ですが、返事をいただきました。
返信先メールアドレスに21日の15時に来ました。
1日半程度ですかね。実質的には2営業日目あたりです。
内容は以下です。
文面を見る限りは、ログインおよびクレジットカード登録制限が解除されたようです。
実際にログイン画面で携帯電話番号とパスワードを入力し、ログインを試してみたところ無事ログインできました。
ただいまPayPayって気分ですね…。
クレカ登録画面も問題なく表示されました。
セキュリティのずさんさが指摘されたわけですが、さすがに問い合わせ関係のデータベース化はされていると思います。
今回の問い合わせで、携帯電話番号とメールアドレスと問い合わせ内容くらいは紐付けしてデータベースに保存されているでしょう。
ひとりのユーザーからの問い合わせが複数回や同一内容となると、ユーザーの不正利用として疑いに掛かると思われます。
おわりに
いかがでしたか。
まだ記事としては未完です。
しかし最新情報として、現状をお知らせしました。
人柱となって検証しました。
記事としてはひとまず完成です。
トラブルに出くわすことは少ないと思いますが、問い合わせ方法も紹介できたと思います。
少なくとも今回のアップデート以降の不正利用はある程度減るでしょう。
あとは不正利用をされたユーザーのケアや、PayPayサービスの信用が議論されそうです。
以上、ひよこ(@yutotte_nambo)でした。
Kyashで投げ銭を頂けたら嬉しいです。
kyash://qr/u/1462576558236510484
