スポンサーリンク

まとめ QRコード決済 PayPayは大丈夫?

PayPay スマートフォン Personal Device

QRコード決済 PayPayの100億円あげちゃうキャンペーンが開始からたった10日で終了してしまったわけですが、ここに来てさまざまなPayPayの問題点が指摘され、PayPayは大丈夫なのか不安に思っている人がいるかもしれません。

PayPayの問題点とその対策や解決がなされたかをまとめておきます。

スポンサーリンク

PayPayに他人のクレジットカードを登録できてしまう問題

PayPayに他人のクレジットカードを登録できてしまう問題が指摘されました。PayPay側ではPayPay利用者とクレジットカード登録者が一致するか突き合わせていなかったのでしょうか?

PayPayは、クレジットカードを登録するときに3回間違えたらロックするといった機能が採用されておらず、セキュリティコードを総当たりで試すことが出来てしまう問題が指摘されました。

PayPay調査によると、実際に13件のセキュリティーコードを20回以上試して登録されたものが見つかり、うち4件が名義当人の確認が取れない登録であったといいます。

この問題は、PayPay利用者のカード番号が流出したり、処理がずれて本来のPayPay利用者でない別のPayPay利用者に請求がいったと勘違いしている人がいますが、違います。

PayPayでカード情報が流出したわけではありません。また、QRコード決済ですから、PayPayと店舗間の処理にカード番号は飛び交いません。

ダークウェブなどで流出したクレジットカード情報を入手できれば、PayPayで登録できてしまっていた問題なわけです。

これが成功するにはスキミングやどこかのオンラインショッピングから流出したカード情報が必要となります。本来、流出した時点でカード番号が変更されているはずです。

それでも登録出来て使えてしまったということは、カード情報が流出したのに気づいていなかったり、流出したことを黙っているサイトがあったということです。

カード不正利用のうち、たったの4件しか総当たり登録がなかったことからも、流出したカード情報が利用されたことは明白です。ツイッターとかで「PayPay使ってないのに、PayPayで不正利用された!」と怒ってる人のほとんどは別の場所ですでにカード情報が漏れていたわけです。

この問題は別件のカード情報流出があって起きる話なので、PayPayだけが悪いわけではないですが、情報の突き合わせと一定回数誤るとセキュリティロックする機能は当初からあるべきでした。

 

PayPayは、オンラインショップで使われている3Dセキュアの仕組みを導入するようです。これが入ると、パスワードをちゃんと覚えておかないとPayPayにクレカを登録できません。

パスワードは、通常用いられる4ケタの暗証番号とまた異なります。パスワードをうろ覚えの人は要確認です。

これまでオンラインで使ったことがなくパスワード登録されていないクレジットカードはPayPayに登録できないようです。その場合、カード会社のサイトであらかじめパスワード登録を行なう必要があります。

※ 3Dセキュア – 通常のクレジットカード決済は、”クレジットカード番号”や”有効期限”などクレジットカードに記載されている情報のみです。3Dセキュア対応のクレジットカードは、クレジットカード記載の情報に加えて、「自分しか知らないパスワード」を使って認証します。そのため、クレジットカード情報の盗用によるなりすましなどの不正利用を未然に防止できるとされています。

クレジットカード不正利用について、業界として取り組んでいくことになりました。

3Dセキュア(本人認証サービス)の対応と、クレジットカード不正利用への補償について - PayPayからのお知らせ
PayPayをご利用の皆さまに3Dセキュア(本人認証サービス)への対応に関して、...

PayPayに2重決済された話

PayPayは、決済のアクセスがあまりに集中したお昼休み時間や就業時間あとの時間帯に何度か遅延やシステムトラブルがありました。

その結果、アクセス集中で反応が悪いから何度も決済してしまったり、システム異常で二重に決済されてしまったのかといった問題が発生しました。

 

通常状態であれば決済結果が即時に通知されるところ、決済結果が即座に返ってこない遅延があったためもう一度決済してしまった事案が多かったようです。

そういうときには本来まず先の決済やオーソリを取り消してから、再度決済するのが正しい手順です。店舗も客も新しいPayPayに不慣れだったため、その手順を踏まずに再度トライしてしまったのでしょう。

同じ加盟店、同じ利用者、同じ金額の決済が連続でシステムに到着した場合、注意喚起や決済保留などの仕組みがあって良いので、システム開発側にも問題があります。

PayPayは既存のPOSシステムに後から追加された格好ですから、2重決済を問題解決する真っ当な修正には少し時間がかかるかもしれません。

PayPayは元々インド企業が持っていた仕組みを採用しています。システム開発をインド側で行なっているとするとさらに時間がかかる可能性があります。

PayPayのQRコードを偽造して使える?

PayPayはQRコード決済の仕組みです。したがって、QRコードの中身をだれでも知ることが可能です。


真似をしたQRコードを作ることは可能です。それが実際に機能するかという話になると別です。

サーバー側の認証なしに決済が出来てしまったり、ハイジャックを許すような、相当に間抜けなシステムでない限りは無理です。

オンラインバンキングやオンライン決済では通常トークンという仕組みが使われます。

トークンとは、オンラインで取引が実行されるときに必要な本人認証として、5分間有効といった時限式の1度きり有効なコードが発行されるものです。

この認証の仕組みを用いて、純正PayPayアプリとサーバーの間を暗号化通信でやり取りがされている分には偽造や乗っ取りは容易なことではありません。

ちなみに試みると不正アクセスになりますからやらないようにしてください。不正アクセス行為は犯罪です。

 

QRコード詐欺の別の例として、店舗に置いてあるQRコードを読ませて決済するパターンにおいて、その店舗QRコードを別のQRコードにだれかがすり替えるというものがあります。

これを時限がある個人間送金に置き換えることは困難です。加盟店契約時の審査や確認が疎かになり、犯罪組織と加盟店契約してしまうと犯罪者の入り込む余地があります。

いたずら行為もあるかもしれません。

利用者と店舗双方の決済時確認がおそろかだと犯罪に巻き込まれる可能性があります。QRコード決済の利用回数が増えると確認が適当になりがちですが、通知を毎回きちんと確認したいところです。

QRコード決済は、おサイフケータイと違ってスマホのアプリが通信します。PayPay利用者は利用時の予防として、ログインや金融取引時と同様に「無料WiFiを使わない」対策を取っておくべきです。

その他のPayPayの問題点

PayPayを使ったクレジットカード枠の現金化

PayPayの100億円あげちゃうキャンペーンでは還元率が良すぎたために、転売行為や100%還元に当選するまで返品を繰り返す行為が見られました。

本来価格が定まっている商品でも20%還元が適用され問題視されました。

そのほかに問題視されていたのは、クレジットカードのショッピング枠の現金化に利用された問題です。

クレジットカードのショッピング枠を現金化する手口は以前からあります。20%還元時のPayPayならば、素人でも損なく現金化できてしまっていました。

現金化しやすい換金性の高い商品やチケットの類いがターゲットになりました。

カード不正利用問題から、PayPayはカード決済の限度額を下げました。これでショッピング枠を現金化する術はほぼ使えません。

このあたりの設定は、クイックペイの利用上限金額が2万円になっていることと同じです(クイックペイ+なら2万円を超える決済も可能)。

また限度額が大きくなることがあれば再度問題になるでしょう。

PayPayで循環取引

PayPayは現時点で店舗側の決済手数料が0です。店舗はPayPayで利用されても何も損をしません。

それどころか先着加盟店には決済があると報酬が支払われるということから、店舗と利用者、複数の店舗がグルになって循環取引して不正に報酬を得ることができる可能性が指摘されています。

これは取引履歴を調べれば極端なケースはすぐに判明するはずです。還元や加盟店契約を取り消したり、詐欺で刑事告訴され事件化するかもしれません。

 

PayPay 20%還元ボーナスが付与取消になるのは、こんな理由のとき

PayPayがポイント還元を取消する場合の例として次のようなものを挙げています。

  • 対象となる支払いをキャンセルし、返金を受けたとき
  • 取引やキャンセルの状況により、不正行為が行われたと判断されたとき
  • ポイント付与前に、対象のPayPayアカウントが停止または削除されたとき
  • 利用規約に違反する行為、またはそのおそれがあると判断されたとき
  • 複数のPayPayアカウントで付与を受けたことが確認されたとき

ポイントを得てから対象支払いを返金した場合、付与されたPayPayボーナス相当額が請求されます。

不正利用や不正行為と判断される場合、キャンペーンの景品や特典の付与取消、PayPayアカウントの停止になる場合があります。

前記の例には不正行為ではないケースも含まれていましたが、下記は先の例よりもグレー、黒の要素が強い例になります。例によっては犯罪行為です。

  • クレジットカード不正利用
  • 架空取引
  • 取引・決済の分割
  • 不当取引や返金によるPayPayボーナス等の詐取
  • 複数名義に成りすました利用
  • 複数のPayPayアカウントで同一クレジットカード利用
  • PayPayアカウント、Yahoo! JAPAN IDの不正利用

機械的な判断で処分された場合、あやまちもあります。正当な利用なのに取消や停止を受けたときはクレームをつけることが可能です。

PayPayボーナス等が「付与取消」となる場合の理由について - PayPayからのお知らせ
いつもPayPayをご利用いただき、ありがとうございます。 PayPayで実施し...