まとめ QRコード決済 PayPayは大丈夫？

QRコード決済 PayPayの100億円あげちゃうキャンペーンが開始からたった10日で終了してしまったわけですが、ここに来てさまざまなPayPayの問題点が指摘され、PayPayは大丈夫なのか不安に思っている人がいるかもしれません。

PayPayの問題点とその対策や解決がなされたかをまとめておきます。

PayPayに他人のクレジットカードを登録できてしまう問題
PayPayに2重決済された話
PayPayのQRコードを偽造して使える？
その他のPayPayの問題点
1. PayPayを使ったクレジットカード枠の現金化
2. PayPayで循環取引
PayPay 20%還元ボーナスが付与取消になるのは、こんな理由のとき

PayPayに他人のクレジットカードを登録できてしまう問題

PayPayに他人のクレジットカードを登録できてしまう問題が指摘されました。PayPay側ではPayPay利用者とクレジットカード登録者が一致するか突き合わせていなかったのでしょうか？

【お知らせ】
ご自身のクレジットカードに、PayPayから身に覚えのない請求がありましたら、こちらをご参照ください。
→ https://t.co/nI8S1YANBD

PayPayではお客さまの情報を適切な方法で管理しており、安全にサービスをご利用いただけます。

— PayPay株式会社 (@PayPayOfficial) December 15, 2018

PayPayは、クレジットカードを登録するときに3回間違えたらロックするといった機能が採用されておらず、セキュリティコードを総当たりで試すことが出来てしまう問題が指摘されました。

PayPay調査によると、実際に13件のセキュリティーコードを20回以上試して登録されたものが見つかり、うち4件が名義当人の確認が取れない登録であったといいます。

この問題は、PayPay利用者のカード番号が流出したり、処理がずれて本来のPayPay利用者でない別のPayPay利用者に請求がいったと勘違いしている人がいますが、違います。

PayPayでカード情報が流出したわけではありません。また、QRコード決済ですから、PayPayと店舗間の処理にカード番号は飛び交いません。

ダークウェブなどで流出したクレジットカード情報を入手できれば、PayPayで登録できてしまっていた問題なわけです。

これが成功するにはスキミングやどこかのオンラインショッピングから流出したカード情報が必要となります。本来、流出した時点でカード番号が変更されているはずです。

それでも登録出来て使えてしまったということは、カード情報が流出したのに気づいていなかったり、流出したことを黙っているサイトがあったということです。

カード不正利用のうち、たったの4件しか総当たり登録がなかったことからも、流出したカード情報が利用されたことは明白です。ツイッターとかで「PayPay使ってないのに、PayPayで不正利用された!」と怒ってる人のほとんどは別の場所ですでにカード情報が漏れていたわけです。

この問題は別件のカード情報流出があって起きる話なので、PayPayだけが悪いわけではないですが、情報の突き合わせと一定回数誤るとセキュリティロックする機能は当初からあるべきでした。

【重要なお知らせ】
PayPayアプリでクレジットカード情報を入力する際、入力回数に制限を設けました。12月18日以降PayPayアプリをご利用の際は、アプリのアップデートが必要となります。ご不便をおかけしますが、ご協力のほどよろしくお願いいたします

— PayPay株式会社 (@PayPayOfficial) December 18, 2018

PayPayは、オンラインショップで使われている3Dセキュアの仕組みを導入するようです。これが入ると、パスワードをちゃんと覚えておかないとPayPayにクレカを登録できません。

パスワードは、通常用いられる4ケタの暗証番号とまた異なります。パスワードをうろ覚えの人は要確認です。

これまでオンラインで使ったことがなくパスワード登録されていないクレジットカードはPayPayに登録できないようです。その場合、カード会社のサイトであらかじめパスワード登録を行なう必要があります。

「ＰａｙＰａｙ」を使ったクレジットカードの不正利用が相次いだ問題で運営会社は利用者にカード会社に登録しているパスワードの入力を求め、本人確認を強化することになった。不正利用が判明した利用者については被害にあった金額を「ＰａｙＰａｙ」側が全額補償するという。https://t.co/8swO9Soiv1

— NHK@首都圏 (@nhk_shutoken) December 27, 2018

※ 3Dセキュア – 通常のクレジットカード決済は、”クレジットカード番号”や”有効期限”などクレジットカードに記載されている情報のみです。3Dセキュア対応のクレジットカードは、クレジットカード記載の情報に加えて、「自分しか知らないパスワード」を使って認証します。そのため、クレジットカード情報の盗用によるなりすましなどの不正利用を未然に防止できるとされています。

クレジットカード不正利用について、業界として取り組んでいくことになりました。

QRコード決済の対策検討へ　クレカ不正利用相次ぎ https://t.co/tHDBf588Dx

— テレ朝news (@tv_asahi_news) December 28, 2018

#QR決済における不正流出した #クレジットカード情報の不正利用防止対策に関する検討会を立ち上げます#不正利用防止対策に向け、QR決済事業者、#クレジットカード会社等と共にQR決済事業者として守るべきセキュリティの水準を検討し、対策ガイドラインを取りまとめますhttps://t.co/w9ttwXIcL0

— 経済産業省 (@meti_NIPPON) December 28, 2018

https://www.paypay-corp.co.jp/notice/20181227/01/

PayPayに2重決済された話

PayPayは、決済のアクセスがあまりに集中したお昼休み時間や就業時間あとの時間帯に何度か遅延やシステムトラブルがありました。

その結果、アクセス集中で反応が悪いから何度も決済してしまったり、システム異常で二重に決済されてしまったのかといった問題が発生しました。

10万使う→2重決済→2万5千使う→2重決済(上限25万到達)

サポセンへ電話(繋がるまで2時間以上)

二重決済取り消し依頼(後日対応)＆取り消し前に買い物して20%CBされるか確認したらされるとの事。

10万の買い物する→ポイント付かない

サポセンへ電話(深夜なのに繋がらず1時間経過)

はぁ.. #PayPay

— 馬小屋 (@umagoya_xyz) December 13, 2018

paypay二重決済、ようやく回答が来た? pic.twitter.com/oqtmUubRxN

— 突然ＰＯＥＭドットコム? (@totsuzen_P_com) December 12, 2018

二重決済になってたPayPayがやっと返金された?https://t.co/uX8FCGOgkO pic.twitter.com/7mJLxNL1ce

— kazfanks (@Kazfanks) December 18, 2018

【進展あり】
昨日SMSで連絡あり。重複支払い分の取り消しが完了したとの旨。アプリで確認すると、確かに返金処理されていた！
しかも二重決済されたうち、全額返金に当選していたほうを残してくれていた。 #PayPay pic.twitter.com/XJZ9oTETve

— 細野雄紀（JX通信社） (@healthyboy5) December 15, 2018

通常状態であれば決済結果が即時に通知されるところ、決済結果が即座に返ってこない遅延があったためもう一度決済してしまった事案が多かったようです。

そういうときには本来まず先の決済やオーソリを取り消してから、再度決済するのが正しい手順です。店舗も客も新しいPayPayに不慣れだったため、その手順を踏まずに再度トライしてしまったのでしょう。

【本日12月4日 12時45分頃から13時56分頃まで発生した障害について】
本障害に伴い、1回の決済で誤って複数回の決済が発生した方は、PayPayカスタマーサポート窓口までお問い合わせください。お客様にはご迷惑をおかけしましたことをお詫び申し上げます。
お問い合わせ先→https://t.co/LLCbyAI6V2

— PayPay株式会社 (@PayPayOfficial) December 4, 2018

【PayPayをご利用いただいているお客さまへ】
このたびは、二重決済や身に覚えのない請求など、多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。
弊社では再発防止策の徹底を図り、安全・安心なサービスの運用に向けて全力で取り組んでいきます。https://t.co/YvvnEWqqcl

— PayPay株式会社 (@PayPayOfficial) December 19, 2018

同じ加盟店、同じ利用者、同じ金額の決済が連続でシステムに到着した場合、注意喚起や決済保留などの仕組みがあって良いので、システム開発側にも問題があります。

PayPayは既存のPOSシステムに後から追加された格好ですから、2重決済を問題解決する真っ当な修正には少し時間がかかるかもしれません。

PayPayは元々インド企業が持っていた仕組みを採用しています。システム開発をインド側で行なっているとするとさらに時間がかかる可能性があります。

PayPayのQRコードを偽造して使える？

PayPayはQRコード決済の仕組みです。したがって、QRコードの中身をだれでも知ることが可能です。

真似をしたQRコードを作ることは可能です。それが実際に機能するかという話になると別です。

サーバー側の認証なしに決済が出来てしまったり、ハイジャックを許すような、相当に間抜けなシステムでない限りは無理です。

一部SNSで指摘があった、個人間送金（譲渡）機能で表示する金額指定QRコードの仕様について、検証の結果、残高を第三者が略取することはできないことが判明しましたが、万全を期すため機能の修正を行いました。
なお本ツイート時点で本件に関する被害の報告はございません。https://t.co/rHspNnpd73

— PayPay株式会社 (@PayPayOfficial) December 21, 2018

オンラインバンキングやオンライン決済では通常トークンという仕組みが使われます。

トークンとは、オンラインで取引が実行されるときに必要な本人認証として、5分間有効といった時限式の1度きり有効なコードが発行されるものです。

この認証の仕組みを用いて、純正PayPayアプリとサーバーの間を暗号化通信でやり取りがされている分には偽造や乗っ取りは容易なことではありません。

ちなみに試みると不正アクセスになりますからやらないようにしてください。不正アクセス行為は犯罪です。

QRコード詐欺の別の例として、店舗に置いてあるQRコードを読ませて決済するパターンにおいて、その店舗QRコードを別のQRコードにだれかがすり替えるというものがあります。

これを時限がある個人間送金に置き換えることは困難です。加盟店契約時の審査や確認が疎かになり、犯罪組織と加盟店契約してしまうと犯罪者の入り込む余地があります。

いたずら行為もあるかもしれません。

利用者と店舗双方の決済時確認がおそろかだと犯罪に巻き込まれる可能性があります。QRコード決済の利用回数が増えると確認が適当になりがちですが、通知を毎回きちんと確認したいところです。

QRコード決済は、おサイフケータイと違ってスマホのアプリが通信します。PayPay利用者は利用時の予防として、ログインや金融取引時と同様に「無料WiFiを使わない」対策を取っておくべきです。

その他のPayPayの問題点

PayPayを使ったクレジットカード枠の現金化

PayPayの100億円あげちゃうキャンペーンでは還元率が良すぎたために、転売行為や100%還元に当選するまで返品を繰り返す行為が見られました。

本来価格が定まっている商品でも20%還元が適用され問題視されました。

そのほかに問題視されていたのは、クレジットカードのショッピング枠の現金化に利用された問題です。

クレジットカードのショッピング枠を現金化する手口は以前からあります。20%還元時のPayPayならば、素人でも損なく現金化できてしまっていました。

現金化しやすい換金性の高い商品やチケットの類いがターゲットになりました。

カード不正利用問題から、PayPayはカード決済の限度額を下げました。これでショッピング枠を現金化する術はほぼ使えません。

このあたりの設定は、クイックペイの利用上限金額が2万円になっていることと同じです（クイックペイ＋なら2万円を超える決済も可能）。

また限度額が大きくなることがあれば再度問題になるでしょう。

【クレジットカードご利用時の上限金額の設定】
12月21日からクレジットカードでの決済金額、Yahoo! JAPANカードからのチャージ金額の上限を設定いたしました。
新たなクレジットカード不正利用の対策を講じるまでの間、ご不便をおかけいたしますことお詫び申し上げます。https://t.co/5nKSVeTcaK

— PayPay株式会社 (@PayPayOfficial) December 21, 2018