ソフトバンクとヤフーの合弁によって設立された PayPay （ペイペイ）に「決済上の欠陥」が存在していることを読売新聞などが報じています。

 厄介なのは「PayPay ユーザーでなくても、クレジットカード不正利用の被害者になる可能性が高いこと」です。“決済システムの欠陥” が存在するのですから、事業者としてあるまじきことと言えるでしょう。

 ＱＲコードを使ったスマートフォンの決済サービス「ペイペイ」で、複数のクレジットカード会社が読売新聞の取材に対し、不正利用が疑われる事例が確認されていることを明らかにした。

 （中略）

 アプリを利用するには、カード番号と有効期限のほか、セキュリティーコードを登録する必要がある。これまではセキュリティーコードを繰り返し入力し直せる設定だったが、手当たり次第に入力する手法で不正利用された可能性があることから、運営会社は、新たに入力回数に上限を設けるなどの対策を決めた。

「何度も入力し直すことが可能」＝「総当たりで認証突破が可能」

 PayPay （ペイペイ）の決済サービスには「入力を複数回間違えたとしても、ロックされない」という問題があります。

 なぜ、問題かと言いますと「総当たりで認証が突破できるから」です。これはセキュリティー上の致命的欠陥であり、知らぬ存ぜぬは通用しないと言えるでしょう。

 クレジットカードを使ったオンライン決算をする場合、以下の情報を入力することが必須です。

• 表面：
  • カード番号
  • 有効期限
• 裏面：
  • セキュリティーコード

 PayPay では「セキュリティーコードを何度も入力し直せる」という脆弱性があり、他人名義のクレジットカードの番号と有効期限を知っていた場合に不正利用ができる状況にあったことが問題なのです。

「本人が知らない間に勝手にオンライン決済が行われることは犯罪」という認識が PayPay には存在しないのでは？

 PayPay （ペイペイ）のセキュリティーに関する認識がかなり軽薄なものであることは『よくある質問』にも現れています。「クレジットカードに利用した覚えのない PayPay の請求が来た」との質問に対し、次のように回答しているのです。

 お客様の携帯電話やクレジットカードを知りえるご家族様や知人のかたの利用の可能性についてご確認いただけますと幸いです。

 まず、他人名義のクレジットカードを勝手に使うこと自体が犯罪です。名義人の知らないところで勝手にカードが使われることは「不正利用」であり、犯罪行為なのです。

 そもそも、「速やかにカード会社に連絡すべき」であり、家族や知人に「私のクレジットカードを使って PayPay で買い物した？」と聞くことは起こり得ないでしょう。

 「親名義のクレジットカードを子供が黙って使う場合を想定した回答」と弁解したとしても、お粗末な回答であることに変わりはないと言わざるを得ないレベルです。

PayPay で “答え合わせ” をされたクレジットカードは変更が必須

 PayPay の決済サービス上で発覚した脆弱性は波紋を広げることになるでしょう。なぜなら、クレジットカード情報の “答え合わせ” ができるサイトとして利用されていたからです。

 オンラインショッピングは便利である一方、クレジットカードの不正利用が起きやすいという問題点もあります。

 これを防ぐために、多くの決済サービスでは間違った情報を複数回連続で入力するとロックされる仕組みが採用されているのです。しかし、PayPay では「繰り返し入力が可能」となっており、これは不正利用者にとっては “渡りに船” の状態でした。

 なぜなら、不正利用を目論むクレジットカード情報の “正解” を知ることができる状態になっていたからです。

 間違った情報を入力してもロックされないのですから、『カード番号』と『有効期限』を入手すれば、『セキュリティーコード』は総当たり式で突破できます。000 から 999 までの中に答えはありますし、どれだけ間違ってもロックはされないのです。

 “正解” が判明すれば、PayPay 以外のオンラインショッピングサイトでも『正確なクレジットカード情報』を使ったなりすましが可能になるのですから、クレジットカードの利用明細をきちんと確認しなければ思わぬ損害を受ける可能性がある人が多数発生する可能性があると言えるでしょう。

 この問題においては「消費者保護」の観点から、「PayPay に対する行政指導を行う必要がある」と言わざるを得ないのではないでしょうか。