パスワードを忘れた? アカウント作成
13798133 story
セキュリティ

ネット通販のクレジット決済でセキュリティコードを間違えても決済できるという話 96

ストーリー by hylom
ただの一要素ということで 部門より

ヨドバシカメラのネット通販サイト「ヨドバシ・ドット・コム」でクレジット決済をする場合、セキュリティコードを間違えても決済が通ってしまうという(ITmediaTogetterまとめ)。

ヨドバシカメラ側はこれに対し、「セキュリティコードが間違っていても、他の属性でカード会社と本人利用の確認が取れれば決済できる」という仕様だと説明している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年12月20日 19時23分 (#3537210)

    逆に、ヨドバシは全ての情報があっていても承認拒否されることがよくあります。
    (無論、与信枠を超えているとかではない)

    ヨドバシかカード会社にクレームの電話入れれば解決しますけど、承認されるまで在庫確保に進まないので配達が数時間~最悪1日遅れて困ることになります。

    あと、クレジットカードの承認がリアルタイムじゃなくて、5分~15分ぐらいかかったりする。
    (承認完了するとメールが来て、それから在庫確保に入る)

    そのため、深夜に頼んで当日12:00までに配達のはずが間に合わず、16:00になったりするなど問題が生じます。

    すぐ欲しいときに困るので、最近ではポイント10万ぐらい貯めて、急ぐときにはポイントで頼むようにしています。
    ポイントなら当然ながら即座に承認され在庫確保のプロセスに入るので、「3分以内に注文を確定すると~本日12:00までにお届けできます」のような状態でも安心です。

    • 追記ですが、カードは三井住友プラチナです
      高額決済(80万円ぐらいの航空券、DELLの通販でパソコン複数台買って60万円決済)や海外での決済などでも電話承認になったことは過去1度しかありませんが
      ヨドバシだけは10回に1回ぐらいは承認でトラブります

      普通の加盟店はカード会社のオーソリシステムが承認・非承認を決めるのですが、
      ヨドバシはチャージバックの問題なのかなんなのか知りませんが、ヨドバシ側の意味不明なアルゴリズムで承認するかどうかを決めているようでほんとに困ります。

      親コメント
    • by Anonymous Coward

      私は逆だな。注文承諾とほぼ同時にカード決済完了のお知らせが来るよ。
      おかげで配送日時の指定なしでも8時間くらいで届くこともあって重宝してる。

      話題のセキュリティコードに関しては入力の有無に関わらず決済までの時間が変わったとかもないんで、ちょっと不思議だった。

      # ちなみにAEON系列

      • by Anonymous Coward

        たまたま16日の日曜日に注文したメールがあったので見たら、注文のメールとクレジットカード決済のご利用確認は同じ時間・分に来てるなあ。
        あとヨドバシで決済拒否されたことない。

        というか決済拒否されたのは楽天で夜中の2時ぐらい?に、カロリーメイトドリンクを箱買いしたときだけだなあ。
        なぜ拒否されたのは不明。

  • まあそもそも (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2018年12月20日 18時31分 (#3537185)
    カード本体にべったり印字されていて変更すらできないものが「セキュリティ」コードなのかと。。。
    • Re:まあそもそも (スコア:5, 参考になる)

      by Anonymous Coward on 2018年12月20日 18時45分 (#3537192)

      いや、別にいいんですよ
      カードがネットで利用され始めた頃にカード番号と有効期限の流出があったら決済されるので付けたもんだし
      アレは原始的な二要素認証ですよ、番号と有効期限+CVCでカードがないと決済できない
      カード決済できる所ではCVC保存禁止なので。
      それでも時々保存して流出やらかしてるけど今はCVCのワンタイム化とか含めて研究されてるよ
      その辺で多要素認証でお前がチャージバック背負うなら決済許可してやるとかあるだけ

      それが実装された時代背景を考えずにセキュリティじゃない!とか間違ってる!とかずれてる

      親コメント
      • by Anonymous Coward

        時代背景は分かるけど「セキュリティ」じゃないっていうのはあってるでしょw

        時代背景があれば脆弱性は許されるというようなものだよ。
        クレカは大幅なシステム変更を嫌ってるから後付けのつぎはぎだらけでしのいでる状態なんだよね・・・

      • by Anonymous Coward

        過去も今もセキュアだったことはないよ。
        数十年前に、キャッシュカードに暗証番号をマジックで書くのはやめましょうってなニュースがあったけど、それを素で行ってるのがクレジットカードだw

    • Re: (スコア:0, おもしろおかしい)

      by Anonymous Coward

      ほんとだよね。なにを今更って感じ
      酷いショッピングサイトだと、カード番号だけで氏名すら入力させず、有効期限とカード番号だけで通すよ
      セキュリティ?なにそれ、だからね
      これで騒ぐやつを見て嗤うショー

      • Re:まあそもそも (スコア:2, 参考になる)

        by Anonymous Coward on 2018年12月20日 21時32分 (#3537273)

        クレジット電文規格ISO8583 [wikipedia.org]に氏名なんてものは無い。
        いつから認証に使っていると勘違いしていた?

        親コメント
      • by Anonymous Coward on 2018年12月20日 20時21分 (#3537235)

        クレジット決済の処理するプログラム書いたことあるけど
        その時の決済代行会社のAPIはそもそも名前をパラメーターとして受け付けてなかった。
        ずっと昔とかじゃなくて、一年くらい前の話。

        他がどうしてるのかは知らんけど。

        親コメント
      • by Anonymous Coward

        決済の後の処理で引き落としの銀行口座とつながってるし、
        海外などからの異常な引き落としも監視してる、
        つまり漏洩前提の運用でカバーしてるから3桁がなんだって意識なのかもしれない

        クレジットカードは世界中で何年も続いてる大企業サービスだしな
        ・・ヨドバシの回答はどうなのか知らんが

      • by Anonymous Coward

        氏名なんて今時使いません
        エンボス加工の流れでWeb化してもついてただけで
        別にアレに大した意味はない

    • by Anonymous Coward

      ユーザーが任意に設定するコードより、カード会社がランダム設定したコードのほうが安全でしょ?

    • by Anonymous Coward

      まあ、VMJは裏面に印字されてるけど、カード表面に堂々印字しているAMEXってどうなのよとは思うw

  • by nnnhhh (47970) on 2018年12月20日 18時40分 (#3537188) 日記

    セキュリティーコード入力欄の横に「コードを入力しない」チェックボックスがあった
    前からあったっけ?
    追加したんだったら素早いなぁ

  • 最近のクレカ決裁は直接決済サイトでやりとりする(ショッピングサイトが得られるのはトークンだけで、クレカ番号等には一切アクセスできない)のが普通じゃないかなあ。
    と思ったけどヨドバシは自社でクレカ発行してるか。

    というかそんなことより、複数点購入したときに受取店舗を一括指定できないほうを先にどうにかしてくれ。

    • by Anonymous Coward

      BIN見る限りヨドバシのクレカは三井住友カード発行だと思います

    • by Anonymous Coward

      画面遷移型はコンバージョンが下がるから敬遠されがちです
      コンバージョンとチャージバックの支払いを天秤にかけ、セキュリティコードや3Dセキュアを外す所もあります

      画面遷移型は「カード情報を保存する」的な動作が必要無ければトークンも返ってこないパターンも珍しく
      電文で返ってくるのは注文番号的な物と決済結果だけ、承認番号などはアクワイアラが提供する管理画面でのみ閲覧可能なんて所もあります

      • by Anonymous Coward

        今時は画面遷移しないjs埋め込み型トークンが主流ですよ
        3Dは無理だけどCVVは普通に使える

  • by Anonymous Coward on 2018年12月20日 18時53分 (#3537198)

    つまりは、「他の属性が間違っていても、セキュリティコードでカード会社と本人利用の確認が取れれば決済できる」という仕様なのか?
    セキュリティ的にはどうなんらろう?
    #俺様の論理的かつ素直な解釈に文句をつけるのはやめてちょうだい

    • by Anonymous Coward

      「セキュリティーコードを含むいくつかの認証要素をパスすれば決済できる」んでしょ
      「セキュリティコードがあればそれだけでOK」とは言ってないよ

      だから
      「他の属性が間違っていても、セキュリティコードでカード会社と本人利用の確認が取れれば決済できる」仕様だ、とは言えません

  • by Anonymous Coward on 2018年12月20日 19時17分 (#3537206)

    配送先の住所がカードに登録されている住所と一致しているならOKとするなら問題なさそうだけど

    • by Anonymous Coward

      「具体的にどのような属性で確認しているのかはセキュリティの問題で全てはお答えできませんが、一例としては入力されたクレジットカードが過去に正常に利用されてきたか履歴を確認したり、注文されている商品が不正利用されやすいものであれば精査したりなどです。さまざまな面から怪しいカードを検知し、バランスをとって決済処理をしています」

      だそうです.

      • by Anonymous Coward

        つまり手動承認ってこと?上の方で承認でトラブったって話があったけど、
        手動でやってて毎回変な担当の人が手動で承認処理しててそれが原因で遅れたりとかしてるのかな。知らんけど

        • by Anonymous Coward on 2018年12月20日 21時19分 (#3537260)

          履歴の確認も不正利用されやすいかも自動でできるでしょ。少なくとも注文一件ずつに対して人力対応にはならないんじゃないかな。

          親コメント
        • by Anonymous Coward

          認証のスピードから考えて自動だと思うよ。
          深夜に注文しても数分以内に承認されるし。

          認証トラブルが度々起きるのはぶっちゃけそのカード(の持ち主)に信用がないって話だろう。

    • by Anonymous Coward

      カード会社は個人情報利用指針もあるので、外部に住所を漏らしません。

      が、カード会社によっては住所とか電話番号コミで情報を送り、合致するかチェックすることができます。アメリカの通販ではAVSというシステムで通販とかセルフのガソリンスタンドのような「非対面決済」で使われていました(少なくてもIC化前は)。

      で、日本だとCICの本人開示で使われており、カード発行会社を選ぶという意味ではJRAダイレクトとか、宝くじオンラインでもやっているフシがあります。通販サイトとかに対してはソニーファイナンスが「認証アシストサービス」として実施しており、不正利用率を二桁下げることができると豪語しています。

  • by Anonymous Coward on 2018年12月20日 19時52分 (#3537221)

    別のカードのセキュリティコードを打ったのに承認された事があった

typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...