ヤフー、ソフトバンクの合弁会社が展開するスマホ決済「PayPay」。
100億円あげちゃうキャンペーンで急速に広がったモバイル決済サービスで、ソフトバンクおよびヤフーの合弁会社「PayPay(ペイペイ)」は12月27日、同サービスで発生している不正利用に関する対策と対応を発表した。
同社は2019年1月中にクレジットカード登録時の本人認証サービスの導入および不正利用と認められた際の補償原資を全額負担する旨を明らかにした。
PayPay曰くセキュリティーコードも漏れている
今回公開された同社のリリースの中には、不正利用の被害データも一部提示された。
「調査の結果、クレジットカード登録時にセキュリティコードを20回以上入力し登録に至った件数はPayPayのサービス開始以来13件であり、クレジットカード情報の入力回数に制限を設けるだけでは根本的な対策にはならないと判断しました。
PayPayにおける不正利用の主な要因は、悪意ある第三者が何らかの方法で、外部で入手したセキュリティコードを含むクレジットカード情報が利用されたことである可能性が高いため、このたび3Dセキュアの対応を決定いたしました。
また、上記13件のうち、PayPayでの利用があった9件について、カード会社と連携しご利用状況を確認したところ、全てご本人による登録と利用であったことが判明しています(2018年12月27日現在)。」
今回話題になっている不正利用の予想されていた手口は、加害者がクレジットカード番号と有効期限を何らかの方法で手に入れ、あとは3桁のセキュリティーコードが合致するまで施行し続けるといったものだ。
PayPayはサービス開始時ではこの試行回数を無制限としていたが、不正利用の影響を受けて12月18日以降は制限をかけた。
PayPayが12月27日に公開したお知らせ。
出典:PayPay
今回の発表で明らかになった「セキュリティコードを20回以上入力し登録に至った件数はPayPayのサービス開始以来13件」という数字は、PayPayにとって重要な発表だ。同社はこの手口が多数派でないと結論づけ、「そもそもセキュリティーコードすら漏れている可能性」を指摘した形だ。
PayPayは今回の不正利用の拡大を受け、2019年1月を目処にカード会社の本人認証サービス(3Dセキュア)に対応する。3Dセキュアは事前にカード発行元で任意のパスワードを設定し、決済時やサービス登録時に入力を促すというものだ。
なお、この3Dセキュアへの対応完了をもって、12月21日から施行されたクレジットカード決済時の利用限度額(過去30日間で5万円上限)を撤廃する見通し。ただし、完了後はユーザー毎に異なる上限額が設定される。
補償はPayPayが全額負担、利用明細の確認を呼びかけ
PayPayを利用したことのある人、ない人関わらずクレジットカードを所有している人は不正利用の被害にあってないか確認すべきだ。
また、同社は不正利用が認められた際の返金額は「カード会社からの不正利用の申請に基づき、加盟店管理会社であるヤフー株式会社を経由して、弊社が不正利用の返金額全額を補償いたします」としている。
同社は今後も様々な安全対策などを講じていくと表明しているが、引き続き利用明細などで不正な取引がなかったかチェックをしてほしいと理解を求めている。
(文、撮影・小林優多郎)