パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

PayPayの「セキュリティコード」入力し放題問題、実際に多数の試行があったのは13件」記事へのコメント

  • by Anonymous Coward on 2018年12月30日 16時29分 (#3541723)

    嘘だとは言わないが、13件(4件)という少なさには説明が必要な気がするんだが。

    • ペイペイ被害が数億円に 経産省など、本人確認指針策定へ [tokyo-np.co.jp]

      スマートフォンを使った決済サービス「ペイペイ」をめぐるクレジットカードの不正利用問題で、被害額が数億円にのぼる見込みであることが二十八日わかった。経済産業省関係者が明らかにした。ほかのQRコード決済サービスでも同様の被害があるといい、経産省と業界団体は三月末までに、決済サービス事業者に最低限の本人確認を求める指針を定める。

      4件で数億の被害=1枚1億の限度額だけどダイナースならたぶん可能だよ。

      親コメント
      • by Anonymous Coward

        これはセキュリティコードを総当たり攻撃した件数でしょ。
        単純に他所から漏れたカード番号で不正利用された分が別にあるって話でしょうよ。
        (そいつらはPayPayの責任じゃないので、たぶん保障も普通にカード会社持ちだと思われ。)

        • by Anonymous Coward

          いえ。
          多要素認証がなされていない場合の不正利用は加盟店の責になります。
          だから遅まきながら3DSecure入れるって言ってるので。

    • >嘘だとは言わないが、13件(4件)という少なさには説明が必要な気がするんだが

      クレジットカード不正利用者は、セキュリティコードまで揃った番号リストを何万件も持ってるので、わざわざ努力してセキュリティコードをチャレンジする必要性がないんですよ。たぶん。

      彼らに常に不足しているものは、セキュリティコードまで揃ったクレジットカード番号を使って安全で多額に換金できる手段なので、paypayは、その換金手段としてだけ、見込まれたんだろうと。

      親コメント
      • by Anonymous Coward

        換金手段として有効な上にカード番号・セキュリティコード特定にも利用可能とかやばいなんてもんじゃないよね……
        両方セットで全部PayPay上で攻撃した事例はなかったというだけで、前者は被害額まで算定されていて、後者かもしれない本人か不明な4件のトライもあったと。
        駄目と駄目で超駄目ではなかったというだけで駄目なのは一切変わらない。

        • by Anonymous Coward on 2019年01月02日 11時25分 (#3542513)

          セキュリティコードの割り出しには普通は自動的に数百以上のサイトを使って割り出すんで回数制限って実はあまり意味ないんだけどね。
          換金手段としての優秀さの方が問題でしょう。

          親コメント
    • by Anonymous Coward

      同じ番号に対しての連続試行が少ないのはいいとして、
      同じセキュリティコードを複数のカード番号に対して連続試行した形跡がないかどうかはは確認したんだろうか?

      • by Anonymous Coward

        同じセキュリティコードである必要性すら無いわけですが……。

        • by Anonymous Coward

          ロボットで動く端末1000台用意すれば、
          クレカ番号1種類×コード1種類×有効期限n回
          だけで確実に割り出せちゃうしなぁ。

          • by Anonymous Coward

            そんなもんクレカ自体の仕組みでしょ。paypayに限った話ではない。

    • by Anonymous Coward

      13件中4件は不正利用だった件数じゃなくて、登録に至ったものの利用がなかった件数だよ(ニュースももっとわかりやすく書くべきだと思うが)。つまりセキュリティコードの総当たりとか騒いでいたこと自体が全然的外れだったってこと

      • by Anonymous Coward

        別にそこは論点じゃないでしょ。
        「セキュリティコードの総当たりとか騒いでいたこと自体が全然的外れだった」と結論付けたいなら、データの取り方に問題がなかったか疑うところでは?

        • by Anonymous Coward on 2018年12月31日 17時09分 (#3542025)

          > 別にそこは論点じゃないでしょ。

          そこが論点でしょ。

          「セキュリティコード総当たりを許す設計は頭がいかれている」という叩き方をしていたけど、
          結果として、セキュリティコード総当たりで突破して不正利用したのは 1件もなかった。
          20回以上試行した13件中、本人だったのが9件、利用無しが4件。

          結果として推論されたのは、既に出回っているカード番号とセキュリティコードのペアを使って、
          1回の試行で登録して不正利用、だった。
          つまり、最初から
          「クレカの現物無しに、カード番号とセキュリティコードのペアだけで、多額の決済できる設計は頭がいかれている」
          と叩くべきだった。

          親コメント
          • by Anonymous Coward

            それはひとつの意見として理解できるが、このツリー元ではその推論の前提となっている数値(の前提となる調査方法)に疑問を呈している訳だが。

            • by Anonymous Coward

              こんだけセキュリティ的にガバガバな上に、炎上しても暫くは都合の良いことばかり言ってた会社だからね。
              総当たりの件数調査も鵜呑みには出来ない。発覚を遅らせるためにID変えながら総当たりしたケースだってあるだろうし。

    • by Anonymous Coward

      セキュリティコードが通った次のステップでキャンセルすると・・・
      「クレジットカード登録時にセキュリティコードを20回以上入力し登録に至った件数」と認識されないんじゃないか?って予想がある。

      #ちなみにPayPayの不正使用は数億円以上 [tokyo-np.co.jp]らしい

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

処理中...