PayPayの「セキュリティコード」入力し放題問題、実際に多数の試行があったのは13件 48
ストーリー by hylom
発生した不正利用の情報はないのか 部門より
発生した不正利用の情報はないのか 部門より
先日、流出したクレジットカード番号がPayPay経由で使われる懸念という話題があった。キャッシュレス決済サービスPayPayではクレジットカード情報の登録時、セキュリティコードを何度間違えてもリトライできることが指摘されていたのだが、こうした批判を受けてPayPay側がクレジットカード登録時に「3Dセキュア」による認証を導入することを発表した(PayPayの発表)。
すでにクレジットカード情報の入力回数に制限を設ける対応は行なっているとのことだが、「クレジットカード登録時にセキュリティコードを20回以上入力し登録に至った件数はPayPayのサービス開始以来13件」と少なく、さらにPayPayでの利用があった9件についてはすべて本人による登録と利用だったという。そのため、3Dセキュアによる認証で本人確認を行うことにしたようだ。
また、もしクレジットカードの不正利用があった場合はPayPayがその全額を補償することも明らかにしている。
セキュリティコードを20回以上入力 (スコア:1)
これな
そもそもセキュリティコードは誤って入力したところで
せいぜい5,6回なんだわ。
敢えて20回以上と記載しているのは、逆に19回以下の
試行が大多数であるってことを示しているんじゃないの?
Re:セキュリティコードを20回以上入力 (スコア:5, 興味深い)
そもそもカード番号とセキュリティコードは出回ってるけどそれを現金化するのが難しかった
通販は受け取りの住所がばれる、白カードに書き込む場合は使う際に怪しまれる
そういう状態からpaypayは怪しまれる事なく店頭受け取り出来る状態を作ってしまったわけで
だからセキュリティコードの試行回数は基本一回なんですよね
一回試して駄目なら次の番号を試すから
Re: (スコア:0)
そうなんですよね。
従来、クレカ番号とセキュリティコードだけ分かっても現金化するのが難しかったんですが、
電子マネーにチャージできるとなるとその敷居がさがるんですよね。
ネットでクレカから電子マネーにチャージする場合は、3Dセキュア必須にする必要があると思うんですが・・・
Re: (スコア:0)
面倒くさすぎる
Re: (スコア:0)
でもそしたら、不正利用に使ったスマホのIMEI番号、契約情報、課金情報、全部バレるじゃん。
Re:セキュリティコードを20回以上入力 (スコア:2)
13のうちの4未使用があるのも現状を物語ってる。結局まちがっても登録できることが分かっただけで満足して使われてなくて。
残りの9もねたのためにやっただけで本人だったのが確認できるという
回数制限してないから不正利用があるんだ!、というのはただの妄想だった。
Re: (スコア:0)
20回以上試した内の13件中9件が本人であっただけで
それ未満の試行回数での不正利用は明かされていませんよね
閾値20にしたのは、おためしで故意に間違えてみる人が続出したから閾値低くすると数が多くなりすぎて心象がわるいんでしょうね。
これこそただの妄想でしょ
Re: (スコア:0)
ついでに本人か不明な4件のことをしれっと無視しているのもね……
Re: (スコア:0)
なんてプレスリリースのどこに書いてないですよ。妄想ですよね。
遊びじゃないんだから、チェックだけして本人かどうか不明のまま悪用されるかもしれない状態で残しておくなんてありえないんですが
利用がなかった4件、と取るべきでしょうし、paypal登録時に出した情報と、カードの登録情報不一致で停止でしょうね
Re: (スコア:0)
不可能じゃないから1-2件ありえますが、
セキュリコーとがない状態で悪用レベルで大量に取得することは確率的にはありえません
単純な統計の問題として (スコア:0)
嘘だとは言わないが、13件(4件)という少なさには説明が必要な気がするんだが。
Re:単純な統計の問題として (スコア:2)
ペイペイ被害が数億円に 経産省など、本人確認指針策定へ [tokyo-np.co.jp]
4件で数億の被害=1枚1億の限度額だけどダイナースならたぶん可能だよ。
Re: (スコア:0)
これはセキュリティコードを総当たり攻撃した件数でしょ。
単純に他所から漏れたカード番号で不正利用された分が別にあるって話でしょうよ。
(そいつらはPayPayの責任じゃないので、たぶん保障も普通にカード会社持ちだと思われ。)
Re: (スコア:0)
いえ。
多要素認証がなされていない場合の不正利用は加盟店の責になります。
だから遅まきながら3DSecure入れるって言ってるので。
Re:単純な統計の問題として (スコア:2)
>嘘だとは言わないが、13件(4件)という少なさには説明が必要な気がするんだが
クレジットカード不正利用者は、セキュリティコードまで揃った番号リストを何万件も持ってるので、わざわざ努力してセキュリティコードをチャレンジする必要性がないんですよ。たぶん。
彼らに常に不足しているものは、セキュリティコードまで揃ったクレジットカード番号を使って安全で多額に換金できる手段なので、paypayは、その換金手段としてだけ、見込まれたんだろうと。
Re: (スコア:0)
換金手段として有効な上にカード番号・セキュリティコード特定にも利用可能とかやばいなんてもんじゃないよね……
両方セットで全部PayPay上で攻撃した事例はなかったというだけで、前者は被害額まで算定されていて、後者かもしれない本人か不明な4件のトライもあったと。
駄目と駄目で超駄目ではなかったというだけで駄目なのは一切変わらない。
Re:単純な統計の問題として (スコア:1)
セキュリティコードの割り出しには普通は自動的に数百以上のサイトを使って割り出すんで回数制限って実はあまり意味ないんだけどね。
換金手段としての優秀さの方が問題でしょう。
Re: (スコア:0)
同じ番号に対しての連続試行が少ないのはいいとして、
同じセキュリティコードを複数のカード番号に対して連続試行した形跡がないかどうかはは確認したんだろうか?
Re: (スコア:0)
同じセキュリティコードである必要性すら無いわけですが……。
Re: (スコア:0)
ロボットで動く端末1000台用意すれば、
クレカ番号1種類×コード1種類×有効期限n回
だけで確実に割り出せちゃうしなぁ。
Re: (スコア:0)
そんなもんクレカ自体の仕組みでしょ。paypayに限った話ではない。
Re: (スコア:0)
13件中4件は不正利用だった件数じゃなくて、登録に至ったものの利用がなかった件数だよ(ニュースももっとわかりやすく書くべきだと思うが)。つまりセキュリティコードの総当たりとか騒いでいたこと自体が全然的外れだったってこと
Re: (スコア:0)
別にそこは論点じゃないでしょ。
「セキュリティコードの総当たりとか騒いでいたこと自体が全然的外れだった」と結論付けたいなら、データの取り方に問題がなかったか疑うところでは?
Re:単純な統計の問題として (スコア:2, 興味深い)
> 別にそこは論点じゃないでしょ。
そこが論点でしょ。
「セキュリティコード総当たりを許す設計は頭がいかれている」という叩き方をしていたけど、
結果として、セキュリティコード総当たりで突破して不正利用したのは 1件もなかった。
20回以上試行した13件中、本人だったのが9件、利用無しが4件。
結果として推論されたのは、既に出回っているカード番号とセキュリティコードのペアを使って、
1回の試行で登録して不正利用、だった。
つまり、最初から
「クレカの現物無しに、カード番号とセキュリティコードのペアだけで、多額の決済できる設計は頭がいかれている」
と叩くべきだった。
Re: (スコア:0)
それはひとつの意見として理解できるが、このツリー元ではその推論の前提となっている数値(の前提となる調査方法)に疑問を呈している訳だが。
Re: (スコア:0)
こんだけセキュリティ的にガバガバな上に、炎上しても暫くは都合の良いことばかり言ってた会社だからね。
総当たりの件数調査も鵜呑みには出来ない。発覚を遅らせるためにID変えながら総当たりしたケースだってあるだろうし。
Re: (スコア:0)
セキュリティコードが通った次のステップでキャンセルすると・・・
「クレジットカード登録時にセキュリティコードを20回以上入力し登録に至った件数」と認識されないんじゃないか?って予想がある。
#ちなみにPayPayの不正使用は数億円以上 [tokyo-np.co.jp]らしい
なぜそのしきい値なのか (スコア:0)
20回未満で多数突破されてるのか?
Re:なぜそのしきい値なのか (スコア:4, すばらしい洞察)
カード番号のほうを変えてたりして
Re: (スコア:0)
それな。
10万件分のカード番号を持っていたら、1回ずつ試行するだけで
約100件分のカード番号とセキュリティ番号の組を手に入れることができる。
Re: (スコア:0)
オンラインだと応答が戻ってくるまでに一秒以上掛かるのとかざらだと思うのだけれど、
それで実用になるの?
Re: (スコア:0)
複数台使えばいい
Re: (スコア:0)
同一IPから、同一カード番号で異なる(間違った)セキュリティコードを、なおかつ一定時間内に連続していれたケースだったりして
根本的にクレカの方の問題だろ? (スコア:0)
そもそもスキミングが横行してそのスジの良いシノギになってるという現実があるわけで…
パスワードもやろうと思えばどうにかなるわけで
最近は白カードを大量に持ってATM占拠する人を見なくなったので
もっと効率のいい方法が発見されたんだろ
クレカ決済はクレカ使えば良いんだし
クレカなんかただのセキュリティホールだろ…
Re: (スコア:0)
言葉は汚いは本質的には同感するのである
クレジットカードは古い仕様のままなので、不正使用が横行しているのは
事実だが、PayPayは、他と比較して件数が多いい訳で問題なのは明らか
Re: (スコア:0)
直にクレカを使用してればここまでアホなことにはなってないだろうな
もし? (スコア:0)
> また、もしクレジットカードの不正利用があった場合はPayPayがその全額を補償することも明らかにしている。
実際あったわけだから「もし」はおかしい。
Re: (スコア:0)
paypayの発表では「もし」なんて言ってない。この記事だけ。
Re: (スコア:0)
×もし PayPay 側で不正利用があった事が分かった場合は
〇もし俺らのカード側で不正利用に気づいた場合は
不正利用かどうかは、俺らじゃないと分からん分もあるべ?
Re: (スコア:0)
PayPayの発表では
> お客さまの申告によりカード会社にて不正利用が認められた場合は
だから、カード会社次第だな
Re: (スコア:0)
悪意ある編集者が公式発表を改ざんし、馬鹿がそれを信じる。それがfakenews。
「登録に至った」……? (スコア:0)
もしかして、正しい番号を入力すると表示される確認画面で登録実行ボタンを押すところまで行ったセッションしかカウントされてないんじゃ
悪用するなら正しい番号が分かったら発覚しにくくするために実際の購入は他所のサイトでやるよね
Re: (スコア:0)
君がpaypayのシステムを全く知らないことだけはわかる。
実際に登録して使ってみれば、如何に的外れなことを言っているかわかるだろう。
憶測で批判したいだけなら、それはそれで結構。
Re: (スコア:0)
なんで、そんなに偉そうなの?
天上人なの?
Re: (スコア:0)
無知は罪です。
いやこの企業体のプレスリリースは (スコア:0)
押しなべてウソ大げさ紛らわしい
Re: (スコア:0)
ほんとどこぞと共通点が垣間見えるよね。