【PayPay】ペイペイ不正利用「ダークウェブ」でカード情報入手か　補償はカード会社とペイペイでどちらが負担するかを協議

■数十件の被害

ヤフーとソフトバンクが出資する決済会社のペイペイ（東京・千代田）は今年10月、スマホを使った決済サービスを始めた。スマホにペイペイのアプリをダウンロードし、スマホにQRコードを表示して店側が読み取ることでキャッシュレス決済ができる。

ペイペイは12月4〜13日まで総額100億円を還元する大規模なキャンペーンを実施。支払った額の2割を還元する内容で、このキャンペーン時に、他人のカード情報をアプリに入れて買い物をするなどの不正利用があったとみられる。被害は数十件に上るとみられ、既に警視庁にも複数の被害相談が寄せられている。

■闇サイトで入手か

匿名性の高い闇サイト群「ダークウェブ」は特殊なソフトがないと閲覧できず、発信元の特定が難しいサイトの総称で、違法薬物や銃器が取引され、犯罪収益の資金洗浄にも使われる。セキュリティーの専門家によると、ダークウェブ上には、クレジットカード番号や数字3桁のセキュリティーコードなど、カード決済に必要な情報が売買されている「闇市場」が複数存在する。日本人のカード情報も大量に流通しており、今回の不正に使われたカード情報との関連も疑われるという。

別の専門家によると、ダークウェブではクレジットカード情報が1件あたり数ドルで売買されている。日本人のカードは与信力が高いとされ、1件あたり10ドルを超え、さらに有効期限までが長いと100ドルほどになることもあるという。

■ロックかからず

ペイペイのアプリの利用にはカード番号やセキュリティーコードなどを登録する必要があるが、これまではセキュリティーコードなどを複数回、間違えてもロックがかからず繰り返し入力できたという。

インターネットサイトのログイン時や、ネット上のカード決済時にはパスワードやセキュリティーコードを複数回間違えて入力すると、ロックがかかる仕組みの場合が多い。しかし、ペイペイのアプリでは間違ったセキュリティーコードを入力してもロックがかからず、何度でも入力できるシステムだった。

セキュリティーに詳しい国際大学GLOCOMの楠正憲客員研究員は、クレジット番号やセキュリティーコードについて「数字の組み合わせを手当たり次第に試し、正しいコードを探り当てる『総当たり攻撃』が行われた可能性がある」と話す。ダークウェブ上の情報に加え、こうした手法で入手した情報が不正利用に使われたとみられる。ペイペイは入力回数に上限を設けるなどの改善策を既に取ったという。

■誰が補償するのか

今回、不正利用に遭った被害者への弁済はどうなるのか。ペイペイの広報担当によると「基本的には顧客の補償はクレジットカード会社が実施する。その上で、カード会社とペイペイで補償についてどちらが負担するかなどを協議する」としている。ペイペイは身に覚えのない請求が来た場合、カード会社に確認するよう呼びかけている。

一般社団法人、日本クレジット協会（東京・中央）によると、2017年のクレジットカードの不正利用被害額は236億円に上る。00年の308億円をピークに減少が続いていたが、12年の68億円から増加に転じ、被害は年々拡大している。

被害の大半は、カード情報を不正に使われる番号盗用被害だ。同協会の担当者は「インターネット上のカード決済が広がり、本体を偽造しなくても不正利用ができるようになったため」と分析している。

今回の不正利用について、警視庁は今後調べを進めるとみられるが、ダークウェブ上でカード情報を売買している場合、それぞれの身元を確認するのは難しいという。過去にダークウェブ上で他人のカード情報を入手したとして摘発されたケースがまれにあるが、実態の解明は難航するとみられる。

https://sokuhou.matomenow.com/wp-content/uploads/2018/12/96958A9F889DE1EBE2E5E3EAEBE2E3EAE3E0E0E2E3EA9191E3E2E2E2-DSXMZO3907170018122018910E00-PN1-4-1.jpg

2018/12/18 11:47
日本経済新聞
https://www.nikkei.com/article/DGXMZO3907189018122018CC1000/

うっかり明細見落とすかもと思うと、クレカ解約しようかなって考えちゃうよね

これで逃げられる日本の司法が問題。

■誰が補償するのか

今回、不正利用に遭った被害者への弁済はどうなるのか。

ペイペイの広報担当によると「基本的には顧客の補償はクレジットカード会社が実施する。
その上で、カード会社とペイペイで補償についてどちらが負担するかなどを協議する」としている。
ペイペイは身に覚えのない請求が来た場合、カード会社に確認するよう呼びかけている。

https://r.nikkei.com/article/DGXMZO39071890Y8A211C1CC1000

https://sokuhou.matomenow.com/wp-content/uploads/2018/12/TWuCpcW.jpg

投資家が読む新聞やで。
明日どうなるやら

そのへんのオレオレ詐欺の兄ちゃんたちがやってんだろ
あいつら携帯の数を揃えることだけは有能だからw

店のQRコードをお客が読み取る方式もあり
こっちの方式は店側に端末が不要でQRコードさえ携帯していれば出先でも決済できる
という点が優れているのに馬鹿記者？
糞記事を証明してるようなもんだな

ｐａｙｐａｙがインドのシステムを使用しているということだが
セキュリティコードの入力回数制限も出来てないような糞システムが
信用出来るのか？
ちゃんと読んでないけど糞記事だな

こりゃますます振り込み詐欺グループの営業分野だな

ソフトバンク叩きたいネトウヨが
デマ流してる

ネット世界のプロ連中が知らなかった言い訳なんて信じられんよ。

決済系の仕事をしてた5ちゃんねらーによると、システムをつくるPayPay側がロックの回数を決めるんだって！！
それもセキュリティコード検証APIは
ソフトバンクペイメイトサービスが提供者！？
カード会社じゃないってよ(⌒‐⌒)

クレカ発行会社の代わりに代行してる
セキュリティコード検証APIは
ソフトバンクペイメイトサービスが提供者？！

375 名無しさん＠１周年 2018/12/16(日) 03:27:09.44 ID:fF20/K/d0
>>222
決済系の仕事をした事あるんだけど、一般的には認証のOK/NGだけ。
OK/NGを返すだけの、APIとして提供されると考えてもらえばいいです。
俺のやったシステムだと、認証NG回数でカードを止めるのは、カード会社ではなく
ベンダー依存だったと記憶＠10年くらい前
楽天がベターとは言わないし、逆にレアケースなんだけど、カードの発行元が
販売サイトを抱える方が、不正利用対応への自由度は格段に上がります。

602 名無しさん＠１周年 2018/12/16(日) 16:55:34.10 ID:hxSJuiFT0
>>580
カード会社直接の問い合わせはないよ
間の代行業者のAPIからの代行

腐ってる、汚い奴らだ

正規だろうが不正だろうが売上あげればいいというスタンスだったんだろ

悪質なクレーマーは告発するだろうね笑

アプリダウンロードしてないのに
不正利用されたーーーーって笑

日本政府のキャッシュレス社会政策とやらも、クレカメインなのが問題
必ず大混乱になるよ

こっちの方が被害額が大変な事になるぞ。

JCBで不正利用されたやついてワロタ