PayPayはセキュアなのか？：セキュリティクラスタ まとめのまとめ 2018年12月版（2/3 ページ）

[山本洋介山（メルカリ），＠IT]

PayPay祭りの裏でクレジットカードの悪用が

　12月4日にはスマホから支払いができる「PayPay」というサービスが新たに始まりました。サービス開始時に「100億円あげちゃうキャンペーン」という大規模なキャッシュバックを打ち出したこともあり、キャンペーンの終了まで日本中が熱狂の渦に巻き込まれました。

　しかしながらそれに関連してセキュリティ問題が発生し、暗い影を落とすことになります。多数のクレジットカードの悪用が確認されたのです。

　PayPayではアプリケーションにクレジットカード情報を登録するだけで買い物ができてしまいます。ところが、カードの現物がなくてもカード番号と有効期限、セキュリティコードの3つが分かれば登録可能でした。この状態でPayPayアプリを使い、店頭で買い物をするとすぐに物が手に入ります。流出したクレジットカード情報を悪用して買い物されたということのようです。

　さらに、PayPayでのクレジットカードの登録にはセキュリティコードの入力が必要になるのですが、回数制限が全くなかったことも話題となりました。最大9999回の試行で登録できてしまうため、もし犯罪者が流出したカード番号だけを手に入れていた場合でも、容易に悪用可能だということでした。

　これらの問題について、PayPayのセキュリティの甘さを非難するツイートがたくさん浴びせかけられました。しかし、そもそも決済にセキュリティコードの入力が必要ないサイトもあります。そこでPayPayが特別に悪いわけではないと擁護するツイートもありました。

　この事態を受けてPayPayは「3Dセキュア」を採用するなどクレジットカード利用時のセキュリティを強化すると発表しました。さらにセキュリティコードの連続試行による悪用被害はほとんどなかったようで、過剰な反応だったようです。