パスワードを忘れた? アカウント作成
13804763 story
セキュリティ

PayPayの「セキュリティコード」入力し放題問題、実際に多数の試行があったのは13件 48

ストーリー by hylom
発生した不正利用の情報はないのか 部門より

先日、流出したクレジットカード番号がPayPay経由で使われる懸念という話題があった。キャッシュレス決済サービスPayPayではクレジットカード情報の登録時、セキュリティコードを何度間違えてもリトライできることが指摘されていたのだが、こうした批判を受けてPayPay側がクレジットカード登録時に「3Dセキュア」による認証を導入することを発表した(PayPayの発表)。

すでにクレジットカード情報の入力回数に制限を設ける対応は行なっているとのことだが、「クレジットカード登録時にセキュリティコードを20回以上入力し登録に至った件数はPayPayのサービス開始以来13件」と少なく、さらにPayPayでの利用があった9件についてはすべて本人による登録と利用だったという。そのため、3Dセキュアによる認証で本人確認を行うことにしたようだ。

また、もしクレジットカードの不正利用があった場合はPayPayがその全額を補償することも明らかにしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年12月30日 19時43分 (#3541803)

    これな

    そもそもセキュリティコードは誤って入力したところで
    せいぜい5,6回なんだわ。

    敢えて20回以上と記載しているのは、逆に19回以下の
    試行が大多数であるってことを示しているんじゃないの?

    • by Anonymous Coward on 2018年12月30日 20時19分 (#3541815)

      そもそもカード番号とセキュリティコードは出回ってるけどそれを現金化するのが難しかった
      通販は受け取りの住所がばれる、白カードに書き込む場合は使う際に怪しまれる
      そういう状態からpaypayは怪しまれる事なく店頭受け取り出来る状態を作ってしまったわけで
      だからセキュリティコードの試行回数は基本一回なんですよね
      一回試して駄目なら次の番号を試すから

      親コメント
      • by Anonymous Coward

        そうなんですよね。
        従来、クレカ番号とセキュリティコードだけ分かっても現金化するのが難しかったんですが、
        電子マネーにチャージできるとなるとその敷居がさがるんですよね。
        ネットでクレカから電子マネーにチャージする場合は、3Dセキュア必須にする必要があると思うんですが・・・

      • by Anonymous Coward

        でもそしたら、不正利用に使ったスマホのIMEI番号、契約情報、課金情報、全部バレるじゃん。

    • 閾値20にしたのは、おためしで故意に間違えてみる人が続出したから閾値低くすると数が多くなりすぎて心象がわるいんでしょうね。

      13のうちの4未使用があるのも現状を物語ってる。結局まちがっても登録できることが分かっただけで満足して使われてなくて。
      残りの9もねたのためにやっただけで本人だったのが確認できるという

      回数制限してないから不正利用があるんだ!、というのはただの妄想だった。
      親コメント
      • by Anonymous Coward

        20回以上試した内の13件中9件が本人であっただけで
        それ未満の試行回数での不正利用は明かされていませんよね

        閾値20にしたのは、おためしで故意に間違えてみる人が続出したから閾値低くすると数が多くなりすぎて心象がわるいんでしょうね。

        これこそただの妄想でしょ

        • by Anonymous Coward

          ついでに本人か不明な4件のことをしれっと無視しているのもね……

          • by Anonymous Coward
            本人か不明な4件
            なんてプレスリリースのどこに書いてないですよ。妄想ですよね。
            遊びじゃないんだから、チェックだけして本人かどうか不明のまま悪用されるかもしれない状態で残しておくなんてありえないんですが
            利用がなかった4件、と取るべきでしょうし、paypal登録時に出した情報と、カードの登録情報不一致で停止でしょうね
        • by Anonymous Coward
          >それ未満の試行回数での不正利用は明かされていませんよね
          不可能じゃないから1-2件ありえますが、
          セキュリコーとがない状態で悪用レベルで大量に取得することは確率的にはありえません
  • by Anonymous Coward on 2018年12月30日 16時29分 (#3541723)

    嘘だとは言わないが、13件(4件)という少なさには説明が必要な気がするんだが。

    • ペイペイ被害が数億円に 経産省など、本人確認指針策定へ [tokyo-np.co.jp]

      スマートフォンを使った決済サービス「ペイペイ」をめぐるクレジットカードの不正利用問題で、被害額が数億円にのぼる見込みであることが二十八日わかった。経済産業省関係者が明らかにした。ほかのQRコード決済サービスでも同様の被害があるといい、経産省と業界団体は三月末までに、決済サービス事業者に最低限の本人確認を求める指針を定める。

      4件で数億の被害=1枚1億の限度額だけどダイナースならたぶん可能だよ。

      親コメント
      • by Anonymous Coward

        これはセキュリティコードを総当たり攻撃した件数でしょ。
        単純に他所から漏れたカード番号で不正利用された分が別にあるって話でしょうよ。
        (そいつらはPayPayの責任じゃないので、たぶん保障も普通にカード会社持ちだと思われ。)

        • by Anonymous Coward

          いえ。
          多要素認証がなされていない場合の不正利用は加盟店の責になります。
          だから遅まきながら3DSecure入れるって言ってるので。

    • >嘘だとは言わないが、13件(4件)という少なさには説明が必要な気がするんだが

      クレジットカード不正利用者は、セキュリティコードまで揃った番号リストを何万件も持ってるので、わざわざ努力してセキュリティコードをチャレンジする必要性がないんですよ。たぶん。

      彼らに常に不足しているものは、セキュリティコードまで揃ったクレジットカード番号を使って安全で多額に換金できる手段なので、paypayは、その換金手段としてだけ、見込まれたんだろうと。

      親コメント
      • by Anonymous Coward

        換金手段として有効な上にカード番号・セキュリティコード特定にも利用可能とかやばいなんてもんじゃないよね……
        両方セットで全部PayPay上で攻撃した事例はなかったというだけで、前者は被害額まで算定されていて、後者かもしれない本人か不明な4件のトライもあったと。
        駄目と駄目で超駄目ではなかったというだけで駄目なのは一切変わらない。

        • by Anonymous Coward on 2019年01月02日 11時25分 (#3542513)

          セキュリティコードの割り出しには普通は自動的に数百以上のサイトを使って割り出すんで回数制限って実はあまり意味ないんだけどね。
          換金手段としての優秀さの方が問題でしょう。

          親コメント
    • by Anonymous Coward

      同じ番号に対しての連続試行が少ないのはいいとして、
      同じセキュリティコードを複数のカード番号に対して連続試行した形跡がないかどうかはは確認したんだろうか?

      • by Anonymous Coward

        同じセキュリティコードである必要性すら無いわけですが……。

        • by Anonymous Coward

          ロボットで動く端末1000台用意すれば、
          クレカ番号1種類×コード1種類×有効期限n回
          だけで確実に割り出せちゃうしなぁ。

          • by Anonymous Coward

            そんなもんクレカ自体の仕組みでしょ。paypayに限った話ではない。

    • by Anonymous Coward

      13件中4件は不正利用だった件数じゃなくて、登録に至ったものの利用がなかった件数だよ(ニュースももっとわかりやすく書くべきだと思うが)。つまりセキュリティコードの総当たりとか騒いでいたこと自体が全然的外れだったってこと

      • by Anonymous Coward

        別にそこは論点じゃないでしょ。
        「セキュリティコードの総当たりとか騒いでいたこと自体が全然的外れだった」と結論付けたいなら、データの取り方に問題がなかったか疑うところでは?

        • by Anonymous Coward on 2018年12月31日 17時09分 (#3542025)

          > 別にそこは論点じゃないでしょ。

          そこが論点でしょ。

          「セキュリティコード総当たりを許す設計は頭がいかれている」という叩き方をしていたけど、
          結果として、セキュリティコード総当たりで突破して不正利用したのは 1件もなかった。
          20回以上試行した13件中、本人だったのが9件、利用無しが4件。

          結果として推論されたのは、既に出回っているカード番号とセキュリティコードのペアを使って、
          1回の試行で登録して不正利用、だった。
          つまり、最初から
          「クレカの現物無しに、カード番号とセキュリティコードのペアだけで、多額の決済できる設計は頭がいかれている」
          と叩くべきだった。

          親コメント
          • by Anonymous Coward

            それはひとつの意見として理解できるが、このツリー元ではその推論の前提となっている数値(の前提となる調査方法)に疑問を呈している訳だが。

            • by Anonymous Coward

              こんだけセキュリティ的にガバガバな上に、炎上しても暫くは都合の良いことばかり言ってた会社だからね。
              総当たりの件数調査も鵜呑みには出来ない。発覚を遅らせるためにID変えながら総当たりしたケースだってあるだろうし。

    • by Anonymous Coward

      セキュリティコードが通った次のステップでキャンセルすると・・・
      「クレジットカード登録時にセキュリティコードを20回以上入力し登録に至った件数」と認識されないんじゃないか?って予想がある。

      #ちなみにPayPayの不正使用は数億円以上 [tokyo-np.co.jp]らしい

  • by Anonymous Coward on 2018年12月30日 16時39分 (#3541725)

    20回未満で多数突破されてるのか?

    • by Anonymous Coward on 2018年12月30日 16時45分 (#3541728)

      カード番号のほうを変えてたりして

      親コメント
      • by Anonymous Coward

        それな。
        10万件分のカード番号を持っていたら、1回ずつ試行するだけで
        約100件分のカード番号とセキュリティ番号の組を手に入れることができる。

        • by Anonymous Coward

          オンラインだと応答が戻ってくるまでに一秒以上掛かるのとかざらだと思うのだけれど、
          それで実用になるの?

    • by Anonymous Coward

      同一IPから、同一カード番号で異なる(間違った)セキュリティコードを、なおかつ一定時間内に連続していれたケースだったりして

  • by Anonymous Coward on 2018年12月30日 16時43分 (#3541727)

    そもそもスキミングが横行してそのスジの良いシノギになってるという現実があるわけで…
    パスワードもやろうと思えばどうにかなるわけで
    最近は白カードを大量に持ってATM占拠する人を見なくなったので
    もっと効率のいい方法が発見されたんだろ
    クレカ決済はクレカ使えば良いんだし
    クレカなんかただのセキュリティホールだろ…

  • by Anonymous Coward on 2018年12月30日 17時27分 (#3541743)

    > また、もしクレジットカードの不正利用があった場合はPayPayがその全額を補償することも明らかにしている。

    実際あったわけだから「もし」はおかしい。

    • by Anonymous Coward

      paypayの発表では「もし」なんて言ってない。この記事だけ。

    • by Anonymous Coward

      ×もし PayPay 側で不正利用があった事が分かった場合は
      〇もし俺らのカード側で不正利用に気づいた場合は

      不正利用かどうかは、俺らじゃないと分からん分もあるべ?

      • by Anonymous Coward

        PayPayの発表では

        > お客さまの申告によりカード会社にて不正利用が認められた場合は

        だから、カード会社次第だな

        • by Anonymous Coward

          悪意ある編集者が公式発表を改ざんし、馬鹿がそれを信じる。それがfakenews。

  • by Anonymous Coward on 2018年12月30日 19時48分 (#3541807)

    もしかして、正しい番号を入力すると表示される確認画面で登録実行ボタンを押すところまで行ったセッションしかカウントされてないんじゃ
    悪用するなら正しい番号が分かったら発覚しにくくするために実際の購入は他所のサイトでやるよね

    • by Anonymous Coward

      君がpaypayのシステムを全く知らないことだけはわかる。
      実際に登録して使ってみれば、如何に的外れなことを言っているかわかるだろう。

      憶測で批判したいだけなら、それはそれで結構。

      • by Anonymous Coward

        なんで、そんなに偉そうなの?
        天上人なの?

  • by Anonymous Coward on 2018年12月31日 0時31分 (#3541895)

    押しなべてウソ大げさ紛らわしい

    • by Anonymous Coward

      ほんとどこぞと共通点が垣間見えるよね。

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...