PayPayでクレジットカードの不正利用が大量発生中。名義なし、3Dセキュアなし。PayPay使っていなくても被害者になる。
どうやらPayPayを踏み台にしたクレジットカードの大量不正利用事件が勃発しているようです。
ツイッター上にもクレジットカードの不正利用の被害者の声が溢れています。
PayPay クレジットカード 不正利用 – Twitter検索
paypay経由でクレカ不正利用された
カスタマーセンターから不審な利用があったと連絡をもらって発覚して利用額約40マソ海外サイトで利用トライ→セキュリティコード違いで使えないがカード番号の存在を確認→paypayの決済にカード番号を使用
こんな流れのよう— zaorinne (@zaorinne) 2018年12月12日
どうやら、PayPayでクレジットカードを登録する際に、有効期限のみの認証で、
セキュリティーコードや本人名義確認、3Dセキュアが無いことから、番号を総当たりでチェックされて、
うまく引っかかった人が踏み台にされたようです。
※他人名義のクレジットカード情報でPayPayが登録できたのかは謎。
そんなこと考える暇もありませんでした。
PayPayアカウントそのものはSMS認証で利用できますから、
適当にSMS受信できる携帯電話番号さえあれば利用できるわけで、
確かにPayPay側の認証セキュリティが甘かったのかも。
PayPayから流出したわけではない。
少なくとも、現時点ではPayPayから流出した訳ではありません。
おそらくそのとおりなんでしょう。ただ、PayPayが加入者の敷居を下げるために、
3Dセキュアなどの認証方式を取り入れなかったことで、今回の騒動を引き起こしたとも言えます。
PayPay使っていなくても被害者に:
問題はPayPayを使っていなくても被害者になることです。
「ほーん、ペイペイねー、価格コムより高いショップで買って何が面白いのかしら」と
傍観を決め込んでいた人でも、クレジットカードを所有しているだけで番号が総当たりでチェックされて、
運が悪かったら被害者になっています。
PayPayに関係なくても、数ヶ月は心当たりのない決済がないか、明細に目を光らせたほうが良いでしょう。
それもあって内部的に100億到達した事にしてキャンペーン取り下げた可能性もある訳かな。
対応しているクレカvisaとmasterとヤフーのJCBだから範囲が広いですね
不正利用されないように個人で対策できることは無いのでしょうか?
解約するか、事前にロックするぐらいしか無い気がする・・・
クレジットカードを解約するか、
金庫に入れてカギをかけて管理する
くらいしか思いつかない。
>金庫に入れてカギをかけて管理する
は特に意味がない。
クレジットカードを利用するたびに、
ワンタイムパスワードで認証とか
大いに有効。
メールに送られてきたリンクのクリックかワンタイムパスワードで認証完了、というものが有ればいいのだけど、そういうサービスは見当たらないので、
http://menotsu.blogspot.com/2017/05/blog-post_20.html
に有る様に、使用毎にメールが来るクレジットカードを使うのが、事実上の対策かねぇ。
警察に被害届を出して、クレジット会社に保障の申請するのが面倒だけど、被害額の期待値を考えれば、それ以上の対策をする事もないかも。
クレカの使用限度額を下げておけばさらにOK。
カード番号、有効期限、SMS認証のみで利用できるということでしょうか。
他人のカード番号、有効期限盗み見れば、
利用し放題?
何本かの指に入るIT企業がお粗末な、、、。
これだけ明確な理由があれば、不正利用を補償している保険会社が訴えを起こす可能性が高いです。
その場合、賠償金は100億超えるかもしれません。
>有効期限のみの認証
3桁のセキュリティーコードや4桁の認証番号も不要だったの?
それによって総当たり攻撃にかかる時間の期待値が10000000倍になるか、ならないかが変わってくる。
(考えてみたら4桁の認証番号をクレカ契約時に設定しているのに何で使わないのだろ?)
参加への敷居を下げたかったのではないでしょうか。
一人当たりの上限がなかったことが事件に繋がったのだ。