オンライン後払いサービス「Paidy（ペイディー）」とフリマサービス「メルカリ」を悪用した商品代金の詐取が多数のメディアから報道されています。

今回はこの詐取事件について解説するとともに、ないがしろにされがちな「セキュリティ・バイ・デザイン」という考え、そしてユーザーとして気を付けておくべきことについてご紹介いたします。

 1.　Paidy（ペイディー）とは

2.　今回の詐取の仕組み

3.　事業者における「セキュリティ・バイ・デザイン」の重要性

4.　ユーザーとして今後気を付けるべきこと

1.　Paidy（ペイディー）とは

「Paidy」は、クレジットカードのように料金を翌月末に後払いできるオンライン決済サービスです。

大きな特徴は下記の 2点です。
「決済に必要な情報はメールアドレスと携帯電話番号のみ」
「請求はEメールとSMS（ショートメッセージサービス）で送られる」

クレジットカードのように新規入会に手間がかかることがなく、手軽に決済ができ、支払いも日も先延ばしにできるというメリットがあります。

もしもEメールとSMSに届いた請求への支払いが滞った際は、商品発送先の住所に文書で督促が届く仕組みになっています。

2.　今回の詐取の仕組み

今回の詐取は、上記のPaidyの特徴を悪用したものでした。下記に流れを説明します。

　1.　悪用者：商品の在庫がないにも関わらず、メルカリに家電量販店の商品画像を利用して割安な価格で空出品する

　2.　購入者：悪用者の出品商品を購入し、住所を伝える

　3.　悪用者：Paidy後払いを利用して家電量販店に商品を注文する

 　4.　購入者：家電量販店から届いた商品を受け取る。

 　5.　購入者：メルカリを通じて商品代金を悪用者に支払う

　6.　Paidy ：悪用者にSMS、メールアドレスで家電量販店の商品代金を請求する

　7.　悪用者：Paidyからの請求を無視し続ける

　8.　Paidy：支払いがないため、商品発送先住所（購入者の住所）に支払いの督促をする

詐取の仕組み模式図

この仕組みで、悪用者は在庫がないにも関わらずメルカリで商品の代金を詐取します。購入者は、メルカリに代金を支払った後で、利用した覚えのないPaidyからも請求を受けることになります。

3.　事業者における「セキュリティ・バイ・デザイン」の重要性

今回の詐取の仕組みが成立したポイントは「決済に必要な情報はメールアドレスと携帯電話番号のみ」「SMSへの請求が無視されたら商品発送先住所に督促がある」という点になります。

たしかにクレジットカードを作る場合のような本人確認や審査の手間がなく、手元にある携帯電話だけで本人確認ができ、手軽に後払い決済ができるということは、とても便利なことです。

しかし便利さを追求するあまり、サービスの根幹を支えるセキュリティの観点が抜け落ちてしまっていたのではないでしょうか。

悪意を持った者の中には、使い捨ての携帯電話を簡単に調達できる者もいるでしょう。本人確認を携帯電話でしか行っていないということは、それさえ手に入れてしまえば、危険を冒すことなく、簡単に支払いを踏み倒すことが可能ということです。

また他のサービスに連携して使われる決済サービスの場合、こういったセキュリティの穴が今回のような詐取に利用されてしまいます。

セキュリティ・バイ・デザインという考え方

「セキュリティ・バイ・デザイン」という考え方があります。簡単に言えば、ビジネスやサービスを検討する段階からセキュリティについて意識し、サービスを行うシステムの開発段階からセキュリティ対策を実施しておくという考え方です。

Paypayや7payにおいても、この視点が欠けていたために多数の不正利用が発生しました。特に7payにおいては、たった3ヶ月でサービス停止に追い込まれました。

JPACブログ過去記事
・2018年12月19日　PayPay事件に見る、セキュリティ・バイ・デザインの重要性
・2019年7月19日　７payとパスワード管理の重要性

技術の進歩でこれまでになかったサービスが生み出せるようになった一方、サービスの早期展開や利便性の向上を目指すあまり、セキュリティの面がなおざりになっている事例が多発しています。

一方で悪意を持った者の間では、多くのインターネットユーザーのメールアドレスやパスワード、そして攻撃用のツール等が容易に手に入るようになっています。このような状況でセキュリティの視点をないがしろにすることは大変危険です。

一度不正利用や情報漏えい等の事故が発生してしまうと、大規模なユーザー離れが起こり事業の継続ができなくなる恐れもあります。

これから新しいサービスを検討される事業者様につきましては、「セキュリティ・バイ・デザイン」の徹底を強くおすすめいたします。

個人情報保護第三者認証制度「TRUSTe(トラストイー)」

JPACでは個人情報保護第三者認証マーク「TRUSTe」の認証付与活動を通じてWEBサイト、アプリの個人情報保護推進をサポートしております。コンサルタントによってはサービス設計の段階からご相談も可能です。ご興味をお持ちいただけましたらお気軽にお問合せください。

・TRUSTe(トラストイー)ご紹介ページはこちら
・お問合せはこちらよりお気軽にどうぞ

4.　ユーザーとして気を付けるべきこと

今回の詐取手法については、メルカリでの発生が確認されており、またPaidy側で対応を取るという発表がありましたが、今後もフリマアプリや購入店舗を変えて同様の手法が発生するかもしれません。

そこで、ユーザーとして気をつけるべきこととして考えられることを記載いたします。

　1.フリマアプリでは出品者情報、出品情報を詳しく確認する

　2.身に覚えのない発送元からの商品は受け取らない

　3.身に覚えのないPaidyからの督促状がきたらPaidyに連絡する

1. 出品者情報、出品情報を詳しく確認する

今回の詐取手法は、メルカリだけでなく、ラクマなど他のフリマアプリでも応用可能な手法でした。

フリマアプリで買い物をする際は出品者情報をしっかりと確認しましょう。

評価がついていない、商品画像が通販サイトからの転載、新品であるにも関わらず流通価格よりもかなり安く売られている、といった出品者は悪意のある出品者の可能性があるので避けるのをおすすめいたします。

2. 身に覚えのない発送元からの商品は受け取らない

フリマアプリで購入した商品であるにも関わらず、身に覚えのない配送元（アマゾン、家電量販店、他通販サイト等）から送られてきた場合は受け取りの拒否をおすすめいたします。アプリで購入した商品が、Paidyを利用して悪用者に注文された場合があります。

3. 身に覚えのないPaidyからの督促状がきたらPaidyに連絡する

Paidyにより対応が取られるとは思いますが、フリマアプリ以外でも、ホテルの予約などで悪用を試みる者がいるかもしれません。

その場合でも、SMSへの督促を無視して、悪用者とは関係のない住所に督促が送られるようにするという手法が使われる可能性があります。

万が一身に覚えのないPaidyからの督促状が届いたら、あわてずにPaidyへ連絡してください。

以上、現時点で考えられる気をつけるべきポイントについてご紹介いたしました。

Paidyにてなんらかの対応があるとのことでしたので、詐取の心配なく使用できるようになるかとは思いますが、現時点では、消費者としての自衛が必要になる場面が発生しないとは言い切れません。

インターネットを介した詐欺などの手口は日々進化、増加しています。

今回の件に限らず、できる限り最新の情報に目を通し、被害を未然に防ぎましょう。