ネット通販のクレジット決済でセキュリティコードを間違えても決済できるという話

ネット通販のクレジット決済でセキュリティコードを間違えても決済できるという話 96

ストーリー by hylom 2018年12月20日 18時27分
ただの一要素ということで部門より

ヨドバシカメラのネット通販サイト「ヨドバシ・ドット・コム」でクレジット決済をする場合、セキュリティコードを間違えても決済が通ってしまうという（ITmedia、Togetterまとめ）。

ヨドバシカメラ側はこれに対し、「セキュリティコードが間違っていても、他の属性でカード会社と本人利用の確認が取れれば決済できる」という仕様だと説明している。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索96コメント Log In/Create an Account

逆に、ヨドバシは全ての情報があっていても承認拒否されることがある (スコア:3, 参考になる)

by Anonymous Coward on 2018年12月20日 19時23分 (#3537210)

逆に、ヨドバシは全ての情報があっていても承認拒否されることがよくあります。
（無論、与信枠を超えているとかではない）
ヨドバシかカード会社にクレームの電話入れれば解決しますけど、承認されるまで在庫確保に進まないので配達が数時間～最悪1日遅れて困ることになります。
あと、クレジットカードの承認がリアルタイムじゃなくて、5分～15分ぐらいかかったりする。
（承認完了するとメールが来て、それから在庫確保に入る）
そのため、深夜に頼んで当日12:00までに配達のはずが間に合わず、16:00になったりするなど問題が生じます。
すぐ欲しいときに困るので、最近ではポイント10万ぐらい貯めて、急ぐときにはポイントで頼むようにしています。
ポイントなら当然ながら即座に承認され在庫確保のプロセスに入るので、「3分以内に注文を確定すると～本日12:00までにお届けできます」のような状態でも安心です。
- Re:逆に、ヨドバシは全ての情報があっていても承認拒否されることがある (スコア:1)
  
  by Anonymous Coward on 2018年12月20日 19時28分 (#3537213)
  
  追記ですが、カードは三井住友プラチナです
  高額決済（80万円ぐらいの航空券、DELLの通販でパソコン複数台買って60万円決済）や海外での決済などでも電話承認になったことは過去1度しかありませんが
  ヨドバシだけは10回に1回ぐらいは承認でトラブります
  普通の加盟店はカード会社のオーソリシステムが承認・非承認を決めるのですが、
  ヨドバシはチャージバックの問題なのかなんなのか知りませんが、ヨドバシ側の意味不明なアルゴリズムで承認するかどうかを決めているようでほんとに困ります。
  
  シェア
  
  親コメント
  - Re:逆に、ヨドバシは全ての情報があっていても承認拒否されることがある (スコア:1)
    
    by Anonymous Coward on 2018年12月20日 20時02分 (#3537226)
    
    ヨドバシじゃないけど、前ほかで高頻度で決済失敗するケースがあって、調べてもらったら、カード名義人をスペルミスしてたことが発覚、それが原因だったことがある。
    本来は全て駄目なんだけど、他の状況から承認されていたっぽい。で、それが時たま転けてたと言うことだった。
    一度登録情報チェックしてみては。そのほかに、生年月日とか周辺の個人情報も、適当なの入れてるとかあると、エラーになるとか。
    
    シェア
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    おま環だろ
    三井住友だけど、ヨドバシの決済でトラブったことなんて一回もないわ
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    そんなに困っているならカードを変えたらよいのでは？
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    自分はそんなことはありませんが、考えられるとしたらIPアドレスとかCookieの問題では？
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    貴方の使い方に問題があるんだと思います
    プラチナで高額決済繰り返したり
    法人登録のゴールドカードで決済すべき規模の取引を
    個人契約のプラチナカードでやってれば、不正利用をすぐに疑われると思います
    むしろ不正利用対策がしっかり機能している証拠だと思います
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      親コメとは別人ですけど、法人カード持ってますが、それに刻印される名前って個人名だけですよ。
      なのでヨドバシ側では、使われたカードが個人なのか法人なのかは分かりません。
      - Re:逆に、ヨドバシは全ての情報があっていても承認拒否されることがある (スコア:1)
        
        by Anonymous Coward on 2018年12月20日 22時05分 (#3537296)
        
        チェックするのはカード会社であって、ヨドバシ側ではないよ。
        
        シェア
        
        親コメント
      - Re:逆に、ヨドバシは全ての情報があっていても承認拒否されることがある (スコア:1)
        
        by Anonymous Coward on 2018年12月20日 22時53分 (#3537327)
        
        個人カードなのか法人カードなのかはBIN帯でわかるので、イシュアから情報提供されていれば判別可能です。
        
        シェア
        
        親コメント
        
        Re:逆に、ヨドバシは全ての情報があっていても承認拒否されることがある (スコア:2)
        
        by ktmizugaki (46208) on 2018年12月21日 14時38分 (#3537583) 日記
        
        ×適応
        ○適用
        
        --
        svn-init() {
        svnadmin create .svnrepo
        svn checkout file://$PWD/.svnrepo .
        }
        
        シェア
        
        親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  私は逆だな。注文承諾とほぼ同時にカード決済完了のお知らせが来るよ。
  おかげで配送日時の指定なしでも8時間くらいで届くこともあって重宝してる。
  話題のセキュリティコードに関しては入力の有無に関わらず決済までの時間が変わったとかもないんで、ちょっと不思議だった。
  # ちなみにAEON系列
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    たまたま16日の日曜日に注文したメールがあったので見たら、注文のメールとクレジットカード決済のご利用確認は同じ時間・分に来てるなあ。
    あとヨドバシで決済拒否されたことない。
    というか決済拒否されたのは楽天で夜中の2時ぐらい？に、カロリーメイトドリンクを箱買いしたときだけだなあ。
    なぜ拒否されたのは不明。
    - Re:逆に、ヨドバシは全ての情報があっていても承認拒否されることがある (スコア:5, すばらしい洞察)
      
      by yhachisu (47108) on 2018年12月20日 23時49分 (#3537344)
      
      そんな時間にカロリーメイトドリンクを欲しがるなんて不健康だよ！やめな！という楽天のやさしさ。
      
      シェア
      
      親コメント
まあそもそも (スコア:2, すばらしい洞察)

by Anonymous Coward on 2018年12月20日 18時31分 (#3537185)

カード本体にべったり印字されていて変更すらできないものが「セキュリティ」コードなのかと。。。
- Re:まあそもそも (スコア:5, 参考になる)
  
  by Anonymous Coward on 2018年12月20日 18時45分 (#3537192)
  
  いや、別にいいんですよ
  カードがネットで利用され始めた頃にカード番号と有効期限の流出があったら決済されるので付けたもんだし
  アレは原始的な二要素認証ですよ、番号と有効期限+CVCでカードがないと決済できない
  カード決済できる所ではCVC保存禁止なので。
  それでも時々保存して流出やらかしてるけど今はCVCのワンタイム化とか含めて研究されてるよ
  その辺で多要素認証でお前がチャージバック背負うなら決済許可してやるとかあるだけ
  それが実装された時代背景を考えずにセキュリティじゃない！とか間違ってる！とかずれてる
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    時代背景は分かるけど「セキュリティ」じゃないっていうのはあってるでしょｗ
    時代背景があれば脆弱性は許されるというようなものだよ。
    クレカは大幅なシステム変更を嫌ってるから後付けのつぎはぎだらけでしのいでる状態なんだよね・・・
    - Re:まあそもそも (スコア:1)
      
      by Anonymous Coward on 2018年12月21日 11時02分 (#3537482)
      
      うーん、細かいようだけど「今となってはセキュアじゃない」が正解じゃね？
      
      シェア
      
      親コメント
    - - Re:まあそもそも (スコア:3, すばらしい洞察)
        
        by Anonymous Coward on 2018年12月20日 21時36分 (#3537276)
        
        マイナスモデの理由は内容の正誤では無く、無駄にけんか腰の態度だと気付いた方が良いと思います。
        
        シェア
        
        親コメント
        
        Re:まあそもそも (スコア:1)
        
        by bero (5057) on 2018年12月27日 2時27分 (#3540253) 日記
        
        モデはそもそも理由付きで、 IDログインしてれば詳細見れます。
        #3537248 の (スコア：X) 部分をクリックすると、
        モデレーション -1
        荒らし=1, Total=1
        と理由がわかります。
        つまり #3537276「マイナスモデの理由は内容の正誤では無く、無駄にけんか腰の態度」という指摘と、モデレータの意図は同じと思われます。
        (俺ならどちらかといえば「フレームのもと」にするけど)
        FAQ: モデレーションドロップダウンボックスに表示される項目の意味は？ [srad.jp]
        
        シェア
        
        親コメント
        
        Re:まあそもそも (スコア:1)
        
        by bero (5057) on 2018年12月27日 3時27分 (#3540257) 日記
        
        もとい、
        #3537216 [srad.jp] の (スコア：X) 部分をクリックすると、
        モデレーション -1
        フレームのもと=1, Total=1
        
        シェア
        
        親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    過去も今もセキュアだったことはないよ。
    数十年前に、キャッシュカードに暗証番号をマジックで書くのはやめましょうってなニュースがあったけど、それを素で行ってるのがクレジットカードだｗ
- Re: (スコア:0, おもしろおかしい)
  
  by Anonymous Coward
  
  ほんとだよね。なにを今更って感じ
  酷いショッピングサイトだと、カード番号だけで氏名すら入力させず、有効期限とカード番号だけで通すよ
  セキュリティ？なにそれ、だからね
  これで騒ぐやつを見て嗤うショー
  - Re:まあそもそも (スコア:2, 参考になる)
    
    by Anonymous Coward on 2018年12月20日 21時32分 (#3537273)
    
    クレジット電文規格ISO8583 [wikipedia.org]に氏名なんてものは無い。
    いつから認証に使っていると勘違いしていた？
    
    シェア
    
    親コメント
  - Re:まあそもそも (スコア:1)
    
    by Anonymous Coward on 2018年12月20日 20時21分 (#3537235)
    
    クレジット決済の処理するプログラム書いたことあるけど
    その時の決済代行会社のAPIはそもそも名前をパラメーターとして受け付けてなかった。
    ずっと昔とかじゃなくて、一年くらい前の話。
    他がどうしてるのかは知らんけど。
    
    シェア
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    決済の後の処理で引き落としの銀行口座とつながってるし、
    海外などからの異常な引き落としも監視してる、
    つまり漏洩前提の運用でカバーしてるから3桁がなんだって意識なのかもしれない
    クレジットカードは世界中で何年も続いてる大企業サービスだしな
    ・・ヨドバシの回答はどうなのか知らんが
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    氏名なんて今時使いません
    エンボス加工の流れでWeb化してもついてただけで
    別にアレに大した意味はない
- Re: (スコア:0)
  
  by Anonymous Coward
  
  ユーザーが任意に設定するコードより、カード会社がランダム設定したコードのほうが安全でしょ？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  まあ、VMJは裏面に印字されてるけど、カード表面に堂々印字しているAMEXってどうなのよとは思うｗ
今日たまたまヨドバシ.comで買物した (スコア:2, 参考になる)

by nnnhhh (47970) on 2018年12月20日 18時40分 (#3537188) 日記

セキュリティーコード入力欄の横に「コードを入力しない」チェックボックスがあった
前からあったっけ?
追加したんだったら素早いなぁ
- Re:今日たまたまヨドバシ.comで買物した (スコア:3, 参考になる)
  
  by Anonymous Coward on 2018年12月20日 18時48分 (#3537196)
  
  前からあった
  peipeiと違って即購入、即持ち去り逃走にはなりにくいから足が比較的つきやすく大規模な詐欺にはなりにくい
  そもそもセキュリティコードは通販加盟店（通販小売店側）の簡易な詐欺自衛策として導入
  （詐欺と判明し支払否認が起きたら加盟店が全て引っ被る。詐欺に気付かず異議申し立て期限を過ぎた消費者が居たら消費者が全て引っ被る）
  いまでもセキュリティコード無し決済受付はあるし義務ではない
  たまに3Dセキュア（セキュリティコードがパスワードに変わっただけ）必須の通販サイトもある（郵便など）
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    peipeiええなpeipei
  - - Re:今日たまたまヨドバシ.comで買物した (スコア:1)
      
      by nekopon (1483) on 2018年12月21日 16時17分 (#3537676) 日記
      
      ぱいぱい?
      
      シェア
      
      親コメント
- Re:今日たまたまヨドバシ.comで買物した (スコア:2, おもしろおかしい)
  
  by Anonymous Coward on 2018年12月20日 21時18分 (#3537258)
  
  ろくに画面を観察をしてなかった人間が
  幼稚な推測を語るとか嘲笑の極みだな。
  俺なんかコード入力を入力した後に「入力しない」チェックを入れて
  入力したらチェックしないでと怒られたことが何度もあるぜ。
  
  シェア
  
  親コメント
- Re:今日たまたまヨドバシ.comで買物した (スコア:1)
  
  by Anonymous Coward on 2018年12月20日 18時41分 (#3537190)
  
  結構前からありますよ。
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  今まで気付いてなかったのかよ……
ヨドバシがどうかは知らないけど (スコア:1)

by NurseAngel (40269) on 2018年12月20日 19時49分 (#3537219) ホームページ日記

最近のクレカ決裁は直接決済サイトでやりとりする(ショッピングサイトが得られるのはトークンだけで、クレカ番号等には一切アクセスできない)のが普通じゃないかなあ。
と思ったけどヨドバシは自社でクレカ発行してるか。
というかそんなことより、複数点購入したときに受取店舗を一括指定できないほうを先にどうにかしてくれ。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  BIN見る限りヨドバシのクレカは三井住友カード発行だと思います
- Re: (スコア:0)
  
  by Anonymous Coward
  
  画面遷移型はコンバージョンが下がるから敬遠されがちです
  コンバージョンとチャージバックの支払いを天秤にかけ、セキュリティコードや3Dセキュアを外す所もあります
  画面遷移型は「カード情報を保存する」的な動作が必要無ければトークンも返ってこないパターンも珍しく
  電文で返ってくるのは注文番号的な物と決済結果だけ、承認番号などはアクワイアラが提供する管理画面でのみ閲覧可能なんて所もあります
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    今時は画面遷移しないjs埋め込み型トークンが主流ですよ
    3Dは無理だけどCVVは普通に使える
他の属性が間違っていても (スコア:0)

by Anonymous Coward on 2018年12月20日 18時53分 (#3537198)

つまりは、「他の属性が間違っていても、セキュリティコードでカード会社と本人利用の確認が取れれば決済できる」という仕様なのか？
セキュリティ的にはどうなんらろう？
＃俺様の論理的かつ素直な解釈に文句をつけるのはやめてちょうだい
- Re: (スコア:0)
  
  by Anonymous Coward
  
  「セキュリティーコードを含むいくつかの認証要素をパスすれば決済できる」んでしょ
  「セキュリティコードがあればそれだけでOK」とは言ってないよ
  だから
  「他の属性が間違っていても、セキュリティコードでカード会社と本人利用の確認が取れれば決済できる」仕様だ、とは言えません
他の属性って何？ (スコア:0)

by Anonymous Coward on 2018年12月20日 19時17分 (#3537206)

配送先の住所がカードに登録されている住所と一致しているならOKとするなら問題なさそうだけど
- Re: (スコア:0)
  
  by Anonymous Coward
  
  「具体的にどのような属性で確認しているのかはセキュリティの問題で全てはお答えできませんが、一例としては入力されたクレジットカードが過去に正常に利用されてきたか履歴を確認したり、注文されている商品が不正利用されやすいものであれば精査したりなどです。さまざまな面から怪しいカードを検知し、バランスをとって決済処理をしています」
  だそうです．
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    つまり手動承認ってこと？上の方で承認でトラブったって話があったけど、
    手動でやってて毎回変な担当の人が手動で承認処理しててそれが原因で遅れたりとかしてるのかな。知らんけど
    - Re:他の属性って何？ (スコア:1)
      
      by Anonymous Coward on 2018年12月20日 21時19分 (#3537260)
      
      履歴の確認も不正利用されやすいかも自動でできるでしょ。少なくとも注文一件ずつに対して人力対応にはならないんじゃないかな。
      
      シェア
      
      親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      認証のスピードから考えて自動だと思うよ。
      深夜に注文しても数分以内に承認されるし。
      認証トラブルが度々起きるのはぶっちゃけそのカード(の持ち主)に信用がないって話だろう。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  カード会社は個人情報利用指針もあるので、外部に住所を漏らしません。
  が、カード会社によっては住所とか電話番号コミで情報を送り、合致するかチェックすることができます。アメリカの通販ではAVSというシステムで通販とかセルフのガソリンスタンドのような「非対面決済」で使われていました(少なくてもIC化前は)。
  で、日本だとCICの本人開示で使われており、カード発行会社を選ぶという意味ではJRAダイレクトとか、宝くじオンラインでもやっているフシがあります。通販サイトとかに対してはソニーファイナンスが「認証アシストサービス」として実施しており、不正利用率を二桁下げることができると豪語しています。
3~4年前にはそんな動きだったような (スコア:0)

by Anonymous Coward on 2018年12月20日 19時52分 (#3537221)

別のカードのセキュリティコードを打ったのに承認された事があった
- - Re:3~4年前にはそんな動きだったような (スコア:1)
    
    by nekopon (1483) on 2018年12月21日 16時19分 (#3537678) 日記
    
    機会に支配される
    「見たら買え」ということか
    
    シェア
    
    親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

逆に、ヨドバシは全ての情報があっていても承認拒否されることがある (スコア:3, 参考になる)

Re:逆に、ヨドバシは全ての情報があっていても承認拒否されることがある (スコア:1)

Re:逆に、ヨドバシは全ての情報があっていても承認拒否されることがある (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:逆に、ヨドバシは全ての情報があっていても承認拒否されることがある (スコア:1)

Re:逆に、ヨドバシは全ての情報があっていても承認拒否されることがある (スコア:1)

Re:逆に、ヨドバシは全ての情報があっていても承認拒否されることがある (スコア:2)

Re: (スコア:0)

Re: (スコア:0)

Re:逆に、ヨドバシは全ての情報があっていても承認拒否されることがある (スコア:5, すばらしい洞察)

まあそもそも (スコア:2, すばらしい洞察)

Re:まあそもそも (スコア:5, 参考になる)

Re: (スコア:0)

Re:まあそもそも (スコア:1)

Re:まあそもそも (スコア:3, すばらしい洞察)

Re:まあそもそも (スコア:1)

Re:まあそもそも (スコア:1)

Re: (スコア:0)

Re: (スコア:0, おもしろおかしい)

Re:まあそもそも (スコア:2, 参考になる)

Re:まあそもそも (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

今日たまたまヨドバシ.comで買物した (スコア:2, 参考になる)

Re:今日たまたまヨドバシ.comで買物した (スコア:3, 参考になる)

Re: (スコア:0)

Re:今日たまたまヨドバシ.comで買物した (スコア:1)

Re:今日たまたまヨドバシ.comで買物した (スコア:2, おもしろおかしい)

Re:今日たまたまヨドバシ.comで買物した (スコア:1)

Re: (スコア:0)

ヨドバシがどうかは知らないけど (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

他の属性が間違っていても (スコア:0)

Re: (スコア:0)

他の属性って何？ (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:他の属性って何？ (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

3~4年前にはそんな動きだったような (スコア:0)

Re:3~4年前にはそんな動きだったような (スコア:1)