クレジットカードの不正利用が発覚後、緊急停止しても「オフライン取引」のApplePayのiDで突破されて不正利用が続くワケ。
クレジットカードを不正利用されたことに気が付き、速攻でクレカ会社に電話してクレカを止めてもらったものの、
不正利用がなぜが続き、連日ショッピング残高がなぜか増え続ける・・・
という摩訶不思議な現象が報じられていましたが、どうやら鍵はオーソリをスキップして決済を成立させる、
「オフライン取引」にあるそうな。
オフライン取引とは:
カードによる決済が行なわれると、取引に関わったカード会社(イシュア/アクワイアラ)や国際ブランドは加盟店である店舗のカード売上から手数料を差し引き、各社で分配を行なう。これは「インターチェンジフィー(Interchange Fee)」と呼ばれ、いわゆるカード会社各社での売上となる。“オーソリ”における照会は、この各社の取り分に影響を与えることになり、“オーソリ”を行なわずに取引記録のみを基に請求するのであれば、各社の取り分が大きくなる、あるいは“戦略的に”手数料を引き下げて競合他社との競争を優位にするといった使い方が可能となる。
そのため、“数は多い”がリスクの“比較的低い”と思われる単価の低い取引についてはある程度「オフライン取引」に載せてしまい、“オーソリ”をスキップしてしまう行為が発生することになる。
「オフライン取引」が発生するかどうかは、“閾値”で判断されることが多い。例えば“閾値”に「10000」と設定したとすると、1万円までの取引は「オフライン取引」となり、それより上の金額の場合は必ず“オーソリ”が発生する。前述のプリペイドカードやデビットカードが持ち込まれた場合、“閾値”は「0」となるため、必ず“オーソリ”が発生することになる。もっとも、これがすべての判断要因ではなく、判断基準となるための別のパラメータが存在していたり、あるいは「オフライン取引」の条件を満たしていても“ランダム”で“オーソリ”を発生させたりすることもあり、結果として「一定数をオフライン取引にしてバランスを取る」といった形に落ち着く。これが「オフライン取引」の基本的なメカニズムだ。
「クレカを止めても不正利用が止まらない」のメカニズム【鈴木淳也のPay Attention】-Impress Watch
なかなか興味深い記事なので、ぜひとも引用元を読んで欲しいところです。
それを踏まえ、実際に行われた攻撃は、次のようなものが想定されます。
「Apple PayのiDで、iPhoneはオフライン状態でカード会社からの遠隔消去を防ぎ、
1万円未満などの少額決済を繰り返してオーソリが発生しづらいし、かつ、オーソリ発生基準となる
1日の購入金額上限を突破しない範囲で、換金しやすい商品を買う」。
インプレスによると、そのあたりの仕組みやしきい値を熟知しているものの犯行だろう、とのこと。
そもそもの攻撃の発端として、フィッシングサイトなどで不正に入手したクレカ番号が使われやすいため、
まずそういった詐欺に引っかからないことが個人でできる最優先事項となります。
とは言え、カード番号ジェネレーターなどで総当りで攻撃してくるやつもいますので、
不要なカードは一時利用停止や海外利用停止、もしくは解約してしまうのが一番下も。
簡便さとセキュリティはある程度トレードオフだけど、決済でこんなポンコツサービス提供されちゃ困るね
オフラインでも決済できて助かった!って状況あんま無いし
まあこの被害もちゃんとカード会社が負担してくれるならどうでもいいけど
iDがザル状態だったみたいですね
またドコモかい
SMS認証なしでApple Payに登録されてしまった理由
https://x.com/amonfx/status/1817557962719695285
そういうことか。
iPhoneを機種変更すると、クレジットカード情報は残っているけど、使うためには認証が必要。
SMS認証かコールセンターでの口頭認証が必要になるが、
イオンカードの場合は、今年の6/30以前はIDとパスワードだけで登録できたのか。
機種変更時に下取りに出しちゃうくらいには愛着の無いスマホを使ってる人が一番リスクに晒されてるって皮肉やね
買う時に何万円も出してるのに機種変更時にあっさり手放せるってのがすげーけどね
車と違って殆ど維持費かかんないのに
イオンカードにIDとパスワードだけで登録できるルートがあったって話なのになんで機種変とか言い出してるんだ?
法律改正してクレカの決済についても、すべてオーソリを
入れるよう義務化すれば済む話しでしょ
オフライン禁止ってね
そんな法益がわからん法案通るわけないだろ
現存する法案ですら意味不明な法律が大量にあるのに
あー、でも国会議員ってアホだらけだから案外通っちゃうかな?
そもそもアップルペイが元凶のような…
クレカ登録してiDやQUICPayに変換される仕組みが悪いのよ
GooglePayなら、カードブランドそのままのタッチ決済ですからね
>GooglePayなら、カードブランドそのままのタッチ決済ですからね
冗談きついぜ
ネットリテラシーがあれば普通に防げた事案
今の教育法のシラバスは知らんけど、要は義務教育で多少は教えてたらそもそも防げてたカモ案件
Kyashみたいなプリペイドで「カードロック」「一時停止」みたいな機能が普通のクレカにもつけて欲しいと思ってたが、
仮についてても今回のやつは、突破される不正利用が登場したことに驚いた
そういえば
三井住友カード「あんしん利用制限サービス」にあるけど
「カードロック」中でもiD決済はできるって公式に書いてあったな
こういうことだったのか
PayPayもオフライン決済できるけど問題ないのかな?
もうQuicPayとかiDとかいうガラパゴス決済はサービス終了してEMVコンタクトレスにしてくれ
おサイフケータイとかいう誤ってスマホ初期化したら有償修理しない限りおかしくなるゴミはとっとと終了しろ
素直に教えて欲しいだが「誤ってスマホ初期化」ってどういう状況なんだ?
シチュエーションがよくわからん
そうか、iDもQUICPayも終息に向かって動いてるのか。
でも簡単にサ終できなさそうね。
やー、サ終したくても難しいやろ
モバスイ使えんけどiDやクイペ使えるからって使ったりってことは案外あるぞ
今回のはオフライン取引が問題なのであってワイみたいにANAPayやトヨワレみたいなプリペイドに一旦入れてから決済するみたいな需要は残ってるわけで