QRコードを利用したキャッシュレス決済のPayPayで不正利用が発生しているとして世間を騒がせている。

PayPayはスマホアプリにクレジットカードを登録し、店頭でQRコードを読み取ることで決済を完了するサービスだ。

PayPayを利用するにはクレジットカード番号、有効期限、セキュリティコードの入力が必要になる。しかし逆に言えばこの3点のみである。よってクレジットカードの名義人などは入力の必要がない。

にもかかわらずPayPay でとられていた不正利用防止の対策は、
「3万円以上の買い物をする場合は店頭にて身分証などで本人確認をする。」
であった。

店頭ではカードの名義人もわからないのに本人確認などして何の意味があるのであろうか。
100歩譲って不正利用が発覚した際に追跡が可能になるかも知れないが、それは不正利用防止対策ではない。
案の定この対策は、一部の店舗では実施すらされていなかったそうだ。

また、通常こういったサービスでは、登録段階で、セキュリティコードや有効期限の入力を一定回数間違えると登録ができなくなるようになっていることが多い。

しかしPayPayでは何度でも入力が可能であったという。
セキュリティコードはたったの3桁の数字だ。000～999までの数字を総当りで入力していけば多くても数百回で当たってしまう。試行回数に制限が無ければ、PayPayはただの総当り攻撃ツールになってしまうだろう。いや、実際になっていただろう。

この脆弱性、現在は修正されたようだが、既に遅い。

セキュリティの業界には、セキュリティ・バイ・デザインという考え方がある。
これは簡単に言うと、ビジネスやサービスを検討する段階からセキュリティについて意識し、サービスを行うシステムの開発段階からセキュリティ対策を実施しておくという考え方だ。

この考え方は欧米では既に常識となっているが、日本ではまだ定着していないようだ。

日本のビジネスは思いつきで我先にと新しいことをやろうとするが、そのための土台作りや準備などを蔑ろにしている傾向があるといえよう。

これは仮想通貨取引所のコインチェック株式会社が顧客資産と自社保有分の仮想通貨”ネム”580億円分をクラッキングによって流出させた事件にも共通する。

PayPayの事件もコインチェックの事件も、サービス提供と利益にばかり目を奪われ、セキュリティ対策を十分行っていなかったことが原因だ。

これからの時代はセキュリティ・バイ・デザインを徹底し、消費者が安心して使えるサービスを提供することを心がける必要がある。

JPACではセキュリティ統括責任者の育成を支援しております。
広範な知識とマネジメント力を備えた人材で、企業と顧客の情報資産を守りましょう。
詳しくはこちら　https://csm.jpac-privacy.jp/