ペイペイ被害が数億円に 経産省など、本人確認指針策定へ
コメント
注目のコメント
ーークレジットカードを使った通信販売の場合は商品の受け取り用に住所などを入力する必要がある。店頭で買う場合もカード現物が必要。これに対して、QRコード決済は、住所入力もカード現物も不要なため不正に利用されやすい。ーー
不正確でミスリーディングな内容です。
QRコード決済が住所もカード現物も不要、と言うなら、他のおサイフケータイなどはどうか。
QRコードという方式があたかも安全でないという印象が広がりかねない書き方が良くないと思います。
カード番号はペイペイ上で盗まれたのではなくて、他でもともと盗まれていた、それを使って悪党がペイペイアタックをした、ペイペイで問題だったのは3桁のセキュリティコードの入力間違いを無制限にしてたので悪党が順列組み合わせで攻撃した、というのが実態。
口座開設数を追求するあまり極限までKYC(口座開設手続き)を緩くしたのは確かに落ち度、せめて電話番号入力からSMSで認証コードチェック、といったグローバルスタンダードの認証は入れるべきだった。
それと、QRコード決済とは、という議論は全く別物です。100億円のキャンペーンのうち数億円の被害というのは一体どんなリスク管理をしているんでしょうか
これだけサイバー犯罪が一般犯罪化してる中、全くと言っていいほど対策をしていなかった結果でしょう
金融庁からの指導もあって然るべきと思いますが
数億円というのはあくまで数字の被害
Visa、MasterCard、YJカードのユーザーが明細を確認したり被害を受けた方は再発行したり、カード会社には問い合わせもあったでしょう
その時間コストも考えると本当にいい迷惑としかいいようがない
エンジニアとしてあり得ない実装
セキュリティエンジニア入門の「やられサービス」並みの脇の甘さでCTFの10ポイント問題並みの実装でよく世の中に出せたもんですね
まぁクイズならまだしも手抜きによって反社会的組織へ数億円も流したのは大罪でしょう
ユーザーもアホではないので専門知識が無くとも正常な判断ができるでしょう別記事の際にも13件しかないという話と実際の被害の件数がおかしいことを指摘しましたが、13人で数億円、数億円を一番少ないであろう最小の2億円だとして、一人あたり、1500万円強ですね。クレジットカードの限度額を遥かに超えます。ここまでの申請は不可能でしょうし、可能だとしても、限度額を超える申請を出したりしたら、カード会社に事前に連絡が必要ですから、ここにリスクがありますね。13件という数字には、何かトリックがあるのかもしれませんね。
<追記>
鈴木智幸さんの指摘されているのが、公式見解ですね。4件が不正利用なら、1件あたり5000万円になりますね。何かありますね。
<別記事コメント引用>
https://newspicks.com/news/3561244?ref=user_1650115
引用部分が本当であれば、PayPayの仕様由来の問題は、13件ということになりますね。でも、今回騒がれているのは、その13件なんでしょうか?セキュリティーコードが漏れているのだとしたら、なぜ、他のサービスや決済で問題になっていないのか、説明がつかないですね。謎です。
<別記事引用>今回の発表で明らかになった「セキュリティコードを20回以上入力し登録に至った件数はPayPayのサービス開始以来13件」という数字は、PayPayにとって重要な発表だ。同社はこの手口が多数派でないと結論づけ、「そもそもセキュリティーコードすら漏れている可能性」を指摘した形だ。