パスワードを忘れた? アカウント作成
13174044 story
お金

「dカード プリペイド」のカード番号は容易に推測できる? 30

ストーリー by hylom
有効期限や名義人の問題が大きそう 部門より
あるAnonymous Coward 曰く、

NTTドコモが昨年末より提供を開始した「dカード プリペイド」で、カード番号を容易に推測できる可能性があることが指摘されている(架空のdカード プリペイドを作成してみよう!(帰納編)架空のdカード プリペイドを作成してみよう!(演繹編))。

dカード プリペイドは専用Webサイトや対応店舗でチャージすることで、チャージした金額内の支払いが可能なプリペイドカード。NTTドコモの決済サービス「iD」だけでなく、クレジットカードの「Mastercard」加盟店でも利用が可能となっている。

今回指摘されているのは、カード番号に一定の法則がある点。そのため、実際に使われている可能性の高いカード番号を推測できるという。また、初回限定デザインではカード決済に必要な名義人や有効期限などの情報も特定が容易だとして注意を促している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 三井住友プリペイド購入規約(店舗交付以外) [vpass.ne.jp] によると、「プリペイド番号等の盗難、偽造、紛失等その他の事由」によって不正利用された場合であっても、会員が全額支払い義務を負うそうです。その上、「プリペイド番号等が盗難等にあった」ことを通知した後の不正利用も、会員責任だそうです。

    更に、不正利用されたときに発生する被害額に上限がありません。利用可能残高を超えて不正利用されることもあるそうなので、莫大な金額の支払い義務を負う可能性がある約款となっています。

    利用可能残高を超過して利用できる場合もあるようなので、プリペイドカードなのでチャージした金額までしかリスクを負わないというのは大間違いで、約款上、一般的なクレジットカードとは比べ物にならないほどリスクの高い商品となっています。私は怖いので、こんな危険な契約は絶対に結びたくありません。

    三井住友プリペイド購入規約(店舗交付以外) [vpass.ne.jp] から、関連した条項を引用します。なお、この規約は、申し込み画面で、携帯電話回線のご契約者情報を三井住友カードに提供することを同意した後の画面で表示されるものです。

    第8条(超過額の立替払い) 1.前条第4項の商品等の代金に相当する金額と後日加盟店から当社に通知される商品
    等の代金に相当する金額に差異がある場合、当社は、後日通知される商品等の代金
    に相当する金額を正しいものとして取り扱うこととし、利用可能残高を加算または
    減算できるものとします。
    2.本プリペイドは、前条の事態、システムの通信状況その他の事由により、利用可能
    残高を超過して利用できる場合があります。会員は、利用可能残高を超えない利用
    可能額を前払式支払手段によるご利用額として扱い、利用可能残高を超える額(以
    下「超過額」という)は当社が立替払いを行ったうえで、会員に請求することを予
    め承諾するものとします。
    3.会員は、当社が請求した超過額を、当社指定の方法で当社に支払うことを予め承諾
    するものとします。
    4.前項にかかわらず、会員が、超過額が生じた本プリペイドと関連付けられているロ
    グイン用 ID に、他の本プリペイドを関連付けて保有しており、当該他の本プリペイ
    ドに利用可能残高が存在する場合、当社は第2項による超過額を当該他の本プリペ
    イドの利用可能残高から差し引くことができるものとします。なお、他の本プリペ
    イドが複数枚存在する場合は、当社が任意の一枚を指定することができるものとし
    ます。

    (中略)

    第16条(盗難等)
    1.本プリペイド番号等の盗難、偽造、紛失等その他の事由(以下まとめて「盗難等」
    という)により本プリペイドが第三者に不正利用された場合、当該不正利用が第3
    項の通知後か否かにかかわらず、会員に損害が生じた場合であっても、当社は責任
    を負わないものとし、会員はその本プリペイドの利用代金についてすべて支払いの
    責を負うものとします。
    2.当社は、本プリペイド番号等の盗難等を理由に会員番号の再発行は行いません。会
    員は、第12条に定める既存プリペイドの利用可能残高への合算、ログイン用 ID ま
    たはパスワードの盗難等の場合はそれらの変更などを自らの責任において行うもの
    とします。
    3.会員は、本プリペイド番号等が盗難等にあった場合、速やかにその旨を当社に通知
    するものとします。当社への通知は、改めて文書で届出ていただく場合があります。

    • 他の商品もこのぐらいのことは書いてありますよね。
      特に盗難等に関しては、会社側が責任を負うと書いてある約款なんて見たこと無いですが。
      書くのは勝手だけど、利用者側に重大な過失や悪意がないと、裁判になったら勝てないと思いますよ。

      親コメント
      • 他の商品もこのぐらいのことは書いてありますよね。
        特に盗難等に関しては、会社側が責任を負うと書いてある約款なんて見たこと無いですが。

        一般的なクレジットカードは、偽造カードの使用に係るカード利用代金については「会社側が責任を負うと書いて」ありますし、カード情報(番号と有効期限など)の不正利用についても60日以内に届け出るなどを条件に不正利用による損害をてん補するとしています。

        三井住友のクレジットカードの場合も、暗証番号取引の不正利用についてカード会社がてん補するケースを「暗証番号の管理について、会員に故意または過失がないと当社が認めた場合」とあり、カード会社側に故意または過失の判断権があるなどの問題点もありますが、総合的に見ると、いかなる不正利用も全て会員側の責任とするdカード プリペイドとは比べ物にならないほどマシな規約です。

        簡単に書くと、三井住友VISAカード&三井住友マスターカードの場合は、

        • 偽造カードの使用に係るカード利用代金については、会員に故意または過失があるときを除き、会員は支払いの責を負わないとしている。
        • 会員が紛失・盗難により他人にカードまたはカード情報あるいはチケット等を不正利用された場合であっても、警察及び当社への届出がなされたときは、これによって本会員が被るカードまたはチケット等の不正利用による損害をてん補するとしている(例外は色々あるので、後述の規約の引用部分をご覧ください)。

        となっています。

        三井住友VISAカード&三井住友マスターカード会員規約(個人用) [smbc-card.com] より引用

        第13条(紛失・盗難、偽造)
        1.カードまたはカード情報あるいはチケット等が紛失・盗難・詐取・横領等(以下まとめて「紛失・盗難」という)によ
        り他人に不正利用された場合、本会員は、そのカードまたはカード情報の利用により発生する利用代金、チケット
        利用代金についてすべて支払いの責を負うものとします。
        2.会員は、カードまたはカード情報あるいはチケット等が紛失・盗難にあった場合、速やかにその旨を当社に通
        知し、最寄警察署に届出るものとします。当社への通知は、改めて文書で届出ていただく場合があります。但し、
        カード情報の紛失・盗難については、当社への通知で足りるものとします。
        3.偽造カードの使用に係るカード利用代金については、本会員は支払いの責を負わないものとします。この場
        合、会員は被害状況等の調査に協力するものとします。
        4.前項にかかわらず、偽造カードの作出または使用について会員に故意または過失があるときは、その偽造
        カードの利用代金について本会員が支払いの責を負うものとします。
        5.当社は、カードが第三者によって拾得される等当社が認識した事由に起因して不正使用の可能性があると判
        断した場合、当社の任意の判断でカードを無効登録できるものとし、会員は予めこれを承諾するものとします。

        第14条(会員保障制度)
        1.前条第1項の規定にかかわらず、当社は、会員が紛失・盗難により他人にカードまたはカード情報あるいはチ
        ケット等を不正利用された場合であって、前条第2項に従い警察及び当社への届出がなされたときは、これによっ
        て本会員が被るカードまたはチケット等の不正利用による損害をてん補します。
        2.保障期間は、入会日から1年間とし毎年自動的に継続されるものとします。
        3.次の場合は、当社はてん補の責を負いません。
        (1)会員の故意若しくは重大な過失に起因する損害
        (2)損害の発生が保障期間外の場合
        (3)会員の家族・同居人・当社から送付したカードまたはチケット等の受領の代理人による不正利用に起因する
        場合
        (4)会員が本条第4項の義務を怠った場合
        (5)紛失・盗難または被害状況の届けが虚偽であった場合
        (6)カードショッピング、キャッシングリボ及び海外キャッシュサービス取引等のうち暗証番号の入力を伴う取引に
        ついての損害(但し、当社に登録されている暗証番号の管理について、会員に故意または過失がないと当社が
        認めた場合はこの限りではありません。)
        (7)前条第2項の紛失・盗難の通知を当社が受領した日の61日以前に生じた損害
        (8)戦争・地震等による著しい秩序の混乱中に生じた紛失・盗難に起因する損害
        (9)その他本規約に違反する使用に起因する損害
        4.本会員は、損害のてん補を請求する場合、損害の発生を知った日から30日以内に当社が損害のてん補に必
        要と認める書類を当社に提出すると共に、会員は被害状況等の調査に協力するものとします。

        親コメント
        • 補足 (スコア:3, 興味深い)

          by Printable is bad. (38668) on 2017年03月01日 18時36分 (#3169237)

          誤解を招きそうなので補足。

          親コメント
        • by Anonymous Coward on 2017年03月02日 1時32分 (#3169383)

          どうして「一般的なクレジットカードの規約との比較」なんでしょう?
          比較するなら、他のプリペイドカードとでは?

          楽天銀行プリペイドカード規定 | ご利用規定 | 楽天銀行 [rakuten-bank.co.jp]

          7. カードの紛失・盗難、偽造・変造その他の事由によりカードまたはカード情報について不正利用がされ、会員に損害が生じた場合であっても、当行はかかる損害について責任を負わないものとし、また、補償をしないものとします。

          他の点も大差なし。
          もし「プリペイドカード全般が危険」とおっしゃりたいのなら、「リスクの高い商品」という言い回しは不適切。

          # どうしてこの人は毎回長文なんだろう。

          親コメント
          • by Anonymous Coward

            > どうして「一般的なクレジットカードの規約との比較」なんでしょう?
            話の発端に太字で書いてあるでしょう。
            # 長文だから冒頭さえ読まないってのはどうなんだろう。

      • by Anonymous Coward

        再保険入ってるだろうからクレカ会社にとっては屁でもないんじゃないの

    • しかし現実、利用可能残高を超える額のトランザクションを通すったってその上限は大したことないはず。
      青天井なら加盟店が簡単に不正出来るしね。

      親コメント
      • by Anonymous Coward

        クレジットって与信確認と実際の支払額に差異が出ることはオンライン決済の仕組み上あり得るから、青天井ってことはないにせよdカードはその辺どうやって処理してるのか気になる。

        1.5万円しか残高がない状態で、1万円で与信かかったらこの手のデビッドカードはそこで1万円ロックかけるんだけど
        後から2万円の決済されたらどうするんだろう、ドコモ経由で5000円の請求が行くのかな?

        # 逆に与信確認だけ複数回飛ばしたりする「行儀があまり良くないオンライン決済の店」で使うと速攻で枯渇しそうだなぁ、とか
        # VISAデビットで5000円弱の買い物するのに10万引き落とされたことが一度あった(与信額を10万の固定値でシステム組んでたらしい)

    • by Anonymous Coward

      >利用可能残高を超過して利用できる場合もあるようなので、

          そんな事ができる時点で「プリペイド」とは言えないのですが、具体的にどういう場合なのでしょうか?

      • by Anonymous Coward

        ガソリンスタンドで、給油が終わって請求額が確定→カードを通すのではなく、カードを通す→給油が終わって請求額が確定するのを不思議に思ったことはありませんか?

        利用可能枠を確認(与信)してから請求までのタイムラグがあるので、同時に2つの請求が上がると残高を超過することがあります。クレジットカードの決済システムに相乗りしている故の制約です。

        • by Anonymous Coward

          それを悪用した輩がいたので、今はガソリンスタンド側でプリペイドは受け付けないようにしています

  • by Anonymous Coward on 2017年03月01日 16時39分 (#3169171)

    Pontaとdポイントっていろいろ共通でしょう
    とTwitterでもカキカキ

    • by Anonymous Coward on 2017年03月01日 16時57分 (#3169179)

      Pontaとdポイントで共通なのはロイヤリティマーケティング社の担当するポイントシステムのみです。

      おさいふPontaも名義人が「OSAIFUPONTA MEMBER」で固定ですが、
      カードの発行業務を担っているのが三井住友カードではなくローソンのため
      ・番号規則が推測できない
      ・有効期限が特定できない
      ・J/Secure(本人認証サービス)対応
      などの不正利用対策がなされています。

      親コメント
      • by Anonymous Coward

        加えて、おさいふPontaだとチャージ額以上の支払いは出来ない(※)し、
        一回の支払い上限は10万までだから、(#3169207)みたいな心配も無いな。

        ※以前、PSStoreとかで、ほぼチャージ額いっぱいのゲーム購入しようとしたら、
         カードの有効チェック?の少額引き落としのせいで足りなくなって、決済出来なかったことがある。

  • by Anonymous Coward on 2017年03月01日 17時04分 (#3169183)

    そのネーミングセンス、そして実際のブツ。
    すべてがそびえ立つ○○だ。

    • by Anonymous Coward

      そのタイトル、そして実際のコメント。
      すべてがそびえ立つクソだ。

    • by Anonymous Coward

      Tなんたらよりマシじゃね

    • by Anonymous Coward

      ブランド感無いよな。
      林檎の会社とかち合っちゃったけどiはもっと力があった気がする。

    • by Anonymous Coward

      だよね

      いまだにi-mode作ったと称するBBAを
      個人崇拝するような糞会社だもんなぁww

  • by Anonymous Coward on 2017年03月01日 17時38分 (#3169199)

    VISAクレジットカードでも番号を推測発行するプログラムがあります。

    以前は番号と有効期限だけで買い物ができたようですが、
    最近はセキュリティ番号を組み合わせないと使えなくなってきています。

    • > 以前は番号と有効期限だけで買い物ができたようですが

      クレカの場合、セキュリティ番号が不要な場合も、さすがに名前を入力するのが普通です。
      プリペイドはそれがないので、カード番号だけでの不正利用が容易に見えますね。

      親コメント
      • by Anonymous Coward on 2017年03月01日 20時35分 (#3169291)

        求めるのはカードNo、有効期限、CVC、名前
        結構多くの会社が名前は入力だけで確認してなかったりします・・・
        少なくとも私が仕事関係で関わった割と大手の国内3社はしてませんでした

        親コメント
    • by Anonymous Coward on 2017年03月01日 21時40分 (#3169322)

      クレカ番号のジェネレータは昔からあるけど、今回のは実在ナンバーをランダムジェネレートよりも高い確率で推測出来てしまうのが問題なのかなと思う。

      親コメント
    • by Anonymous Coward

      クレジットマスターのことですね。

      ですから犯罪者はセキュリティコードの入力を求めないサイトで悪事を働きます。そう、Amazonです。

typodupeerror

人生unstable -- あるハッカー

読み込み中...