闇サイトから情報流出!?QRコード決済「PayPay」でカードの不正利用が続出
昨年(2018年)12月、スマートフォンを使ったQRコード決済サービス「PayPay(ペイペイ)」で、クレジットカードが不正に利用される被害が次々と発覚。
PayPayを利用していないカード所有者の被害も発生しており、闇サイト群「ダークウェブ」上に流出したカード情報が悪用されたとみられている。
この問題を受けて、PayPayを運営するヤフーとソフトバンクは、カード情報を登録する際のセキュリティシステムを早急に変更。不正利用が起きた場合には、PayPay社が全額を補償すると発表したが……。
なぜ今回、同社のシステムが集中して狙われ、不正利用の被害が広がったのだろうか。
※PayPayのキャンペーン騒動については、こちらの記事も要チェック!
世間を騒がせたPayPayの「100億円あげちゃうキャンペーン」
ヤフーとソフトバンクが出資する決済会社「PayPay」は、2018年10月にスマホを使ったQRコード決済サービスを開始。スマホにPayPayのアプリをダウンロードして個人情報とクレジットカード情報を登録し(銀行口座からのチャージも可能)、レジでQRコードかバーコードを読み取ることでキャッシュレス決済ができる。
ご存じのとおり、QRコード決済サービスは2018年に入って急速に広まり、PayPayに先行して「Amazon Pay」「LINE Pay」「楽天ペイ」「Origami Pay」など、大手各社やスタートアップ企業が次々と参入。すでに「◎◎Pay」が乱立する激戦市場に乗り込んだPayPayは、総額100億円相当を還元する「100億円あげちゃうキャンペーン」を大々的に打ち出し、わずか10日間で100万人以上のユーザーを獲得した。
2018年12月4日に始まったこのキャンペーン、購入額の20%相当が還元されるという“超破格”な内容で登録者が一気に急増。家電量販店にPayPayユーザーが殺到して、高額商品を爆買いするという異例の事態となった。あまりの盛況ぶりに100億円の還元をまたたく間に達成し、今年3月末まで予定していたキャンペーンは、開始から10日後の12月13日であっけなく終了。キャンペーン期間中、登録・利用が集中して回線障害が発生したり、最終日には一部店舗でキャンペーンに間に合わなかったユーザーの怒号が飛び交うなど、ちょっとした騒動を巻き起こした。
キャンペーンの騒動にまぎれて広がったカード情報の不正利用
さらに、今回の騒動はこれだけでは収まらなかった。キャンペーン終了直後から、「PayPayで決済された、身に覚えのないクレジットカードの請求があった」との報告が相次いだのだ。キャンペーンの騒動にまぎれて、第三者が他人のカード情報をアプリに入れて商品を購入していたとみられ、警視庁やPayPay社に寄せられた被害相談件数は100件超。なかには100万円以上の被害に遭った人や、複数回にわたってカードを不正利用されていた人もいるという。
今回の不正利用について、同社は「アプリ登録時のカード情報が流出した事実はない」と言及。PayPayのアプリに登録していない人からの被害報告もあることから、別のルートで入手したカード情報が不正利用された可能性が大きいという。その「別のルート」として関連したとみられているのが、闇市場でカード情報を売買する違法サイト群「ダークウェブ」だ。
日本人のカード情報も流通する闇サイト「ダークウェブ」とは?
匿名性の高い闇サイト群「ダークウェブ」は、発信元の特定が困難な違法サイトの総称で、特殊なソフトがないと閲覧できない。ダークウェブ上には、違法薬物・銃器の取引やマネーロンダリング、クレジットカード番号やセキュリティコードなどの情報を売買する闇市場が複数存在する。セキュリティの専門家によると、カード情報は1件あたり数ドルで売買され、とくに与信力が高いとされる日本人のカード情報は1件あたり10ドル超、有効期限が長いと100ドルほどで売買されることもあるという。
ダークウェブに流通するカード情報は、今回のPayPayの不正利用にも使われた可能性が高く、警視庁では今後さらに調査を進めるとしている。しかし、ダークウェブ上で行われるカード情報の売買は、それぞれの身元を特定するのが難しく、過去に摘発されたケースもほとんどないことから、実態の解明は難航するとみられている。
セキュリティ対策の甘さが露呈したPayPayの登録システム
さらに今回の不正利用には、アプリにクレジットカード情報を登録する際の仕組みも悪用されており、PayPay側のセキュリティ対策の甘さも浮き彫りとなった。
登録サイトへのログインやネット上のクレジットカード決済システムは、パスワードや3桁のセキュリティコードを何度も間違えて入力すると、ロックがかかる仕組みになっている場合が多い。しかし、当初のPayPayのアプリでは、間違ったセキュリティコードを複数回入力してもロックがかからず、何度も繰り返して入力できる仕組みになっていたのだ。こうした登録システムの隙をついて、数字の組み合わせを手当たり次第に試し、正しいコードを探り当てる「総当たり攻撃」が行われたとみられている。
すでに同社ではコードの入力回数に上限を設け、登録時にカード会社に登録したパスワード入力を求める「3Dセキュア」を追加導入するなど、不正利用防止の改善策を実施している。さらに、クレジットカードの不正利用があった場合、カード会社から顧客への請求停止や返金の措置を行い、PayPay社がカード会社に返金額の全額を補償すると発表。カードを所有する一般消費者に対しても、身に覚えのないPayPayでのクレジットカード利用があった場合は、すみやかにカード会社に連絡するよう呼びかけている。
次世代セキュリティ対策についても官民一体で推進を
日本クレジット協会によると、クレジットカードの不正利用被害額は、2000年の308億円をピークに減少が続いていたが、2012年の68億円から増加に転じて年々拡大し、2017年には236億円にのぼったという。近年の被害額の拡大について、同協会では「ネット上でのカード決済が広まり、カード本体を偽造しなくても不正利用が可能になったため」と分析している。
そうした中、キャッシュレス決済を官民一体で推進する国の政策も後押しして、QRコード決済の市場規模は2019年度に約6000億円、2023年度には約8兆円にまで拡大すると予測されている。市場の成長とともに利用者や導入店舖が増え、各社が競争することで新たなサービスが生み出される一方、その隙を狙って新手の不正利用が広まる恐れも十分に考えられるだろう。
各社でお得なポイントやキャンペーンを打ち出すのもいいが、まずは万全のセキュリティ対策を講じ、それをアップデートさせていくことが重要なのは言うまでもない。キャッシュレス決済の普及・拡大に向けて、より進化した次世代セキュリティシステムの開発・整備についても、官民が一体となって進めてほしいと願うばかりである。
≪記事作成ライター:菱沼真理奈≫
約20年にわたり、企業広告・商品広告のコピーや、女性誌・ビジネス誌などのライティングを手がけています。金融・教育・行政・ビジネス関連の堅い記事から、グルメ・カルチャー・ファッション関連の柔らかい記事まで、オールマイティな対応力が自慢です! 座右の銘は「ありがとうの心を大切に」。