PayPayの「仕様」がクレジットカード不正利用の原因に?試してみた
「流出したクレジットカード情報がPayPay経由で悪用されたのではないか?」と先日記事にしたばかりですが、どうやら「PayPayの仕様が甘いのではないか?」と話題になっています。
ほんとうにそうなのか試してみました。
PayPayはクレジットカード情報を何度入力してもロックされない
@no_softbankさん曰く、PayPayはクレジットカードの有効期限とセキュリティコードを何度入力してもロックされないとのことです。
それにより「不正利用の原因はPayPayのガバガバセキュリティのせいです!」と断言されています。
paypay、有効期限とセキュリティコードを何度も数字変えて間違ってもロックなんて掛からんな。「クレジットカードの登録に失敗しました」がその度に出るだけ。これ総当たりで登録したので確定でいいと思う。
— のーそふとばんく(ソフトバンクアンチ猫) (@no_softbank) 2018年12月14日
paypayで不正利用された皆さん! 原因はpaypayのガバガバセキュリティのせいです!
もしこの情報が本当であれば「総当たり」で番号を試すことができるので、いつかは正解を出すことができる訳です。
PayPayでクレジットカード登録してみました
と言う訳で、PayPayで本当に何度クレジットカード情報を入力してもロックがかからないのか試してみました。
1度目のトライ
有効期限を過去日にして登録しようとするも当然失敗。
2度目以降のトライ
セキュリティコードを間違えて失敗させます。
この後、何度失敗しても問題ありませんでした。つまりロックはかかりませんでした。
注:試行回数は常識的な範囲をいくらか超えた程度になります。”総当たり”ほどのトライはしていません。
最終的には成功する
裏でロックがかかっているのではないか…というとそうではありません。
ちゃんと正しい情報をいれることでこの通りクレジットカードが正しく追加されます。
つまり番号の総当たりでクレジットカード情報の追加は可能となる訳です。
恐ろしい「クレジットマスター」の存在
誰も「自分のクレジットカードの情報は流出していない」とは断言できません。その理由はクレジットマスターの存在にあります。
クレジットカードの番号は一定の規則をもとに生成されています。したがってそれを割り出す為の計算式さえあればいくらでもクレジットカードを不正利用することができることになります。
そしてその抜本的な対策はまだ見つかっていません。
ですから今回のようにPayPayでのクレジットカードの不正利用に使われた大元の情報は「一部クレジットマスターにあるのではないか?」という噂もあります。
結局、不正利用は誰のせいなのか?
PayPayのセキュリティがある程度甘い、という指摘はいくらか正しいのかもしれません。しかしながらライバル他社のQR決済でもPayPay程度のセキュリティの所はあります。
そしてそもそもクレジットカードそのもののセキュリティが時代遅れとなっていることが根幹にあります。この時代に数桁の「数字」だけで不正利用を防ぐのはそもそも無理があります。
せめてアルファベットを入れるべきでしょう。
続報:2018/12/17 18:00
大きな問題になりつつあるせいか、セキュリティコードの入力回数に上限を設けるとPayPayが発表しました。
