ペイペイ不正利用「ダークウェブ」でカード情報入手か :日本経済新聞

スマートフォン（スマホ）を使った決済サービス「ペイペイ」で、クレジットカードが不正に利用される被害が相次いで発覚した。セキュリティーの専門家によると、匿名性の高い闇サイト群「ダークウェブ」上では日本人のカード情報が大量に流出、流通しており、今回の不正利用との関連が疑われている。アプリにカード情報を登録する際の仕組みも悪用されており、不正対策の強化が求められている。■数十件の被害ヤフーとソフトバンク

[retore]

試行回数でのロックをカード会社側じゃなく店舗側で処理させる仕組みがどう考えてもおかしいように思うんだが．でもどこのカードもそうならなんかしら理由があるのかな

[Fushihara]

総当たり攻撃が有効な事の衝撃が一番強いんだけど、それってカード会社的には「一応気をつけた方がいいですよ～」程度なの？マストで対策必須だと思ってた。

[ryun_ryun]

セキュリティコードがカード裏面に書いてある時点で機密性も糞もないもんなあ。カード会社の怠慢という意見も納得。

[nobujirou]

100億円還元中はペイペイ最高って感じだったが、100億円がなくなって問題が起きると、アホバカマヌケの嵐だからちょっとかわいそうだね。でもあと200～300億円還元すれば、また称賛にかわるかもしれないね。

[sakamoto_san]

カード会社で多重照会カードを一々停止していたらUX最悪(世界中から不正照会がなされている為)なので各事業者側に多重照会防止の仕組を求める。具体的には1回毎に照会料が発生させて防止インセンティブを働かせている

[augsUK]

カード会社のセキュリティ意識の低さが本件で最も意外だった。サービス提供側が対策しないと、セキュリティコードの総当たり照会すら通すだけというザルさ。

[kettkett]

カナでペイペイだと深刻さが減るからやめろぅ。

[Lat]

クレジットカードをアプリに登録する場合、本人へSMS等で通知され承認しない限り登録できないようにしないと、アプリはクレジットカードそのものは不要で利用出来てしまうのだしこれは設計上の大きな穴なのでは？

[beerbeerkun]

これ本当にBFAなのかね。カード情報認証するのはペイペイじゃなくカード会社だと思うんだけどそうするとペイペイの問題なのか疑問。

[uunfo]

カードに記載されてない情報が必要な3Dセキュア（本人認証とも、オンライン決済のみ）というのがあるけど、店舗側と持ち主の両方がこれを有効にしてないと機能しないんだよな

[taro-r]

ペイペイとは関係ないが，カード会社に誤請求があったと言っても，請求の取り消しをなかなかしてくなかった事があるので，いざそうなった時大丈夫か?…と不安。

[hamukatumix]

日経はどうしてもPayPayが全て悪いってことにしたいんだなあ。なんか隠してんのか？　事象そのものよりこいつらのポジションが赤裸々すぎて気持ち悪い。バカを騙しやすいストーリーまで提供してPayPayは太っ腹ｗ

[otchy210]

ひっでぇな。過負荷で処理が失敗はいいとして、重複課金とかやらかしてたし、お金扱うシステムとしては稚拙すぎん？

[mas-higa]

同じカードで連続してセキュリティコード間違えてたら (カード会社が) 不正利用を疑ってもいいと思うんだけど…

[kamei_rio]

総当たり許しちゃった補填はカード会社がするんだろうけどガバガバだよなー。関係ないけどペーペーって名乗ればもう少しだけ許されるかな？

[investor_n]

IPアドレスで不正検知できんのか？

[rotahsc]

そんな短時間に総当たりされたらカード会社側で不正兆候でカード止めると思うのでそもそもセキュリティコードも流出してたんじゃないだろうか

[manotch]

ゲｯ……。ところで、キャッシュレス社会が進んでる国の安全性、セキュリティ面はどういう感じなのだろうか。

[sisya]

ダークウェブなどで入手せずとも日々大手企業が流出させてくれているので、この記事は恣意的なように思う。ダークウェブの危険性と、ペイペイの不正利用は関係ない。入手経路がそうである可能性がある程度にすぎない

[yujilabo]

まてよ、不正利用に伴うキャッシュバック予定（1月10日以降還元）は今後の審査結果でもちろん取り消されるはずだから、実は100億円に達してなかったということになり、第二次PayPay祭りを開催すべきなのではないか

[kamiokando]

その辺のアカウント登録でもメールで確認来るで。

[ene0kcal]

私の一番の興味は不正利用したスットコドッコイを全員逮捕できるか。あと数日サービスがもってくれていれば、新スマホをPayPayで買ってたのにくあしいぃ。

[fashi]

ダークウェブで番号調達できるならセキュリティコードもついてくるもんなのでは。コードなしで買い物できる店も多くある中ペイペイが狙われたのはコードの脆弱性ではなく限度額の高さと足の付きにくさということに

[envygreedlust]

参考:https://the01.jp/p0005193/

[totoronoki]

｢対策するの当たり前｣って意見は分かるが、カード会社側に対策がない時点でなあ。どこのカード会社もこの問題に気づいてなかった。カード会社って提携前にサービスの審査とかしないの？カード会社含めて責がある。

[poko_pen]

楽天payは前から3回間違えたらロックかかる仕様になっていた。https://japanese.engadget.com/2018/12/18/paypay/ 他はクレジットカード非対応なため無関係だった。

[IGA-OS]

クレジットカードのセキュリティについて考える機会に。

[miquniqu]

セキュリティて名のつく役職のある人なら秒で気づく話だと思うので、捻くれた考えでいうとあえて穴開けて非合法組織からバッ（このへんで止めておく。）てくらい変な話。

[tomonotecho]

セキュリティコード総当たりで通されたってペイペイは損しないもんな。補償するのはカード会社だし。そう考えたらカード会社が対策するのが妥当かも

[nanatujima]

キャッシュレス決済は、現金を持ち歩くより防犯の上でメリット大きいです笑

[memoryalpha]

“基本的には顧客の補償はクレジットカード会社が実施する。その上で、カード会社とペイペイで補償についてどちらが負担するかなどを協議する”

[cess]

ぜんぜん関係ないけどペイペイっていう名前、フェイスグッドみたいに『相棒』に出てきそうな響きある

[takeox]

詫び還元セールマダァ？ って言う人が出そう

[shinichikudoh]

2004年にソフトバンクの子会社Yahoo! BBから顧客情報が漏洩した事件の被害総額も100億円以上とのことだったので今回の事件との不思議な縁を感じてしまう。もともとあの時の被害額がキャンペーンの元ネタなんじゃないか。

[rxh]

やっぱりAuthenticator導入の方向が一番妥当なのかなあ。発行カード全てはムリにしても。