1: ばーど ★ 2018/12/18(火) 13:40:56.19 ID:CAP_USER9
スマートフォン(スマホ)を使った決済サービス「ペイペイ」で、クレジットカードが不正に利用される被害が相次いで発覚した。セキュリティーの専門家によると、匿名性の高い闇サイト群「ダークウェブ」上では日本人のカード情報が大量に流出、流通しており、今回の不正利用との関連が疑われている。アプリにカード情報を登録する際の仕組みも悪用されており、不正対策の強化が求められている。
■数十件の被害
ヤフーとソフトバンクが出資する決済会社のペイペイ(東京・千代田)は今年10月、スマホを使った決済サービスを始めた。スマホにペイペイのアプリをダウンロードし、スマホにQRコードを表示して店側が読み取ることでキャッシュレス決済ができる。
ペイペイは12月4~13日まで総額100億円を還元する大規模なキャンペーンを実施。支払った額の2割を還元する内容で、このキャンペーン時に、他人のカード情報をアプリに入れて買い物をするなどの不正利用があったとみられる。被害は数十件に上るとみられ、既に警視庁にも複数の被害相談が寄せられている。
■闇サイトで入手か
匿名性の高い闇サイト群「ダークウェブ」は特殊なソフトがないと閲覧できず、発信元の特定が難しいサイトの総称で、違法薬物や銃器が取引され、犯罪収益の資金洗浄にも使われる。セキュリティーの専門家によると、ダークウェブ上には、クレジットカード番号や数字3桁のセキュリティーコードなど、カード決済に必要な情報が売買されている「闇市場」が複数存在する。日本人のカード情報も大量に流通しており、今回の不正に使われたカード情報との関連も疑われるという。
別の専門家によると、ダークウェブではクレジットカード情報が1件あたり数ドルで売買されている。日本人のカードは与信力が高いとされ、1件あたり10ドルを超え、さらに有効期限までが長いと100ドルほどになることもあるという。
■ロックかからず
ペイペイのアプリの利用にはカード番号やセキュリティーコードなどを登録する必要があるが、これまではセキュリティーコードなどを複数回、間違えてもロックがかからず繰り返し入力できたという。
インターネットサイトのログイン時や、ネット上のカード決済時にはパスワードやセキュリティーコードを複数回間違えて入力すると、ロックがかかる仕組みの場合が多い。しかし、ペイペイのアプリでは間違ったセキュリティーコードを入力してもロックがかからず、何度でも入力できるシステムだった。
セキュリティーに詳しい国際大学GLOCOMの楠正憲客員研究員は、クレジット番号やセキュリティーコードについて「数字の組み合わせを手当たり次第に試し、正しいコードを探り当てる『総当たり攻撃』が行われた可能性がある」と話す。ダークウェブ上の情報に加え、こうした手法で入手した情報が不正利用に使われたとみられる。ペイペイは入力回数に上限を設けるなどの改善策を既に取ったという。
■誰が補償するのか
今回、不正利用に遭った被害者への弁済はどうなるのか。ペイペイの広報担当によると「基本的には顧客の補償はクレジットカード会社が実施する。その上で、カード会社とペイペイで補償についてどちらが負担するかなどを協議する」としている。ペイペイは身に覚えのない請求が来た場合、カード会社に確認するよう呼びかけている。
一般社団法人、日本クレジット協会(東京・中央)によると、2017年のクレジットカードの不正利用被害額は236億円に上る。00年の308億円をピークに減少が続いていたが、12年の68億円から増加に転じ、被害は年々拡大している。
被害の大半は、カード情報を不正に使われる番号盗用被害だ。同協会の担当者は「インターネット上のカード決済が広がり、本体を偽造しなくても不正利用ができるようになったため」と分析している。
今回の不正利用について、警視庁は今後調べを進めるとみられるが、ダークウェブ上でカード情報を売買している場合、それぞれの身元を確認するのは難しいという。過去にダークウェブ上で他人のカード情報を入手したとして摘発されたケースがまれにあるが、実態の解明は難航するとみられる。
2018/12/18 11:47
日本経済新聞
https://www.nikkei.com/article/DGXMZO3907189018122018CC1000/
■数十件の被害
ヤフーとソフトバンクが出資する決済会社のペイペイ(東京・千代田)は今年10月、スマホを使った決済サービスを始めた。スマホにペイペイのアプリをダウンロードし、スマホにQRコードを表示して店側が読み取ることでキャッシュレス決済ができる。
ペイペイは12月4~13日まで総額100億円を還元する大規模なキャンペーンを実施。支払った額の2割を還元する内容で、このキャンペーン時に、他人のカード情報をアプリに入れて買い物をするなどの不正利用があったとみられる。被害は数十件に上るとみられ、既に警視庁にも複数の被害相談が寄せられている。
■闇サイトで入手か
匿名性の高い闇サイト群「ダークウェブ」は特殊なソフトがないと閲覧できず、発信元の特定が難しいサイトの総称で、違法薬物や銃器が取引され、犯罪収益の資金洗浄にも使われる。セキュリティーの専門家によると、ダークウェブ上には、クレジットカード番号や数字3桁のセキュリティーコードなど、カード決済に必要な情報が売買されている「闇市場」が複数存在する。日本人のカード情報も大量に流通しており、今回の不正に使われたカード情報との関連も疑われるという。
別の専門家によると、ダークウェブではクレジットカード情報が1件あたり数ドルで売買されている。日本人のカードは与信力が高いとされ、1件あたり10ドルを超え、さらに有効期限までが長いと100ドルほどになることもあるという。
■ロックかからず
ペイペイのアプリの利用にはカード番号やセキュリティーコードなどを登録する必要があるが、これまではセキュリティーコードなどを複数回、間違えてもロックがかからず繰り返し入力できたという。
インターネットサイトのログイン時や、ネット上のカード決済時にはパスワードやセキュリティーコードを複数回間違えて入力すると、ロックがかかる仕組みの場合が多い。しかし、ペイペイのアプリでは間違ったセキュリティーコードを入力してもロックがかからず、何度でも入力できるシステムだった。
セキュリティーに詳しい国際大学GLOCOMの楠正憲客員研究員は、クレジット番号やセキュリティーコードについて「数字の組み合わせを手当たり次第に試し、正しいコードを探り当てる『総当たり攻撃』が行われた可能性がある」と話す。ダークウェブ上の情報に加え、こうした手法で入手した情報が不正利用に使われたとみられる。ペイペイは入力回数に上限を設けるなどの改善策を既に取ったという。
■誰が補償するのか
今回、不正利用に遭った被害者への弁済はどうなるのか。ペイペイの広報担当によると「基本的には顧客の補償はクレジットカード会社が実施する。その上で、カード会社とペイペイで補償についてどちらが負担するかなどを協議する」としている。ペイペイは身に覚えのない請求が来た場合、カード会社に確認するよう呼びかけている。
一般社団法人、日本クレジット協会(東京・中央)によると、2017年のクレジットカードの不正利用被害額は236億円に上る。00年の308億円をピークに減少が続いていたが、12年の68億円から増加に転じ、被害は年々拡大している。
被害の大半は、カード情報を不正に使われる番号盗用被害だ。同協会の担当者は「インターネット上のカード決済が広がり、本体を偽造しなくても不正利用ができるようになったため」と分析している。
今回の不正利用について、警視庁は今後調べを進めるとみられるが、ダークウェブ上でカード情報を売買している場合、それぞれの身元を確認するのは難しいという。過去にダークウェブ上で他人のカード情報を入手したとして摘発されたケースがまれにあるが、実態の解明は難航するとみられる。
2018/12/18 11:47
日本経済新聞
https://www.nikkei.com/article/DGXMZO3907189018122018CC1000/
引用元:http://asahi.5ch.net/test/read.cgi/newsplus/1545108056/
725: 名無しさん@1周年 2018/12/18(火) 16:03:05.73 ID:eWWF+eoV0
>>1
ペイペイのせいでセキュリティーコード漏れたんだろ?
ほとぼり冷めたころに今回は未使用のクレカの悪用が始まる
ペイペイのせいでセキュリティーコード漏れたんだろ?
ほとぼり冷めたころに今回は未使用のクレカの悪用が始まる
8: 名無しさん@1周年 2018/12/18(火) 13:43:43.84 ID:LsvRt5U70
どこの会社だよ
利用者の勘違いとか言ってたのww
利用者の勘違いとか言ってたのww
10: 名無しさん@1周年 2018/12/18(火) 13:44:10.10 ID:QlB6ZfuE0
まるでカード会社にも非があるような
863: 名無しさん@1周年 2018/12/18(火) 16:50:21.37 ID:1aDZFMxO0
>>10
短時間内でのセキュリティコードの問合せに無限回応じていたクレカ会社にも責任はある
短時間内でのセキュリティコードの問合せに無限回応じていたクレカ会社にも責任はある
13: 名無しさん@1周年 2018/12/18(火) 13:45:09.59 ID:89buf2/90
イメージ悪くなったし流行らんな
20: 名無しさん@1周年 2018/12/18(火) 13:46:27.53 ID:lvK+/nvg0
レジにカメラついてんだし
不正のあった会計の人物特定なんてすぐできそうだけど
不正のあった会計の人物特定なんてすぐできそうだけど
56: 名無しさん@1周年 2018/12/18(火) 13:55:15.05 ID:OpdaWq4k0
これをチェッカーにされたことが問題なんだよ
潜伏期間後に、いつ他所で発症するか解らない・・・
潜伏期間後に、いつ他所で発症するか解らない・・・
100: 名無しさん@1周年 2018/12/18(火) 14:03:39.59 ID:sA8Ohgwu0
これでカード会社が補償するなんてことになったら上限なしでセキュリティコード検索できる第2第3のPayPayが現れるぞ??
107: 名無しさん@1周年 2018/12/18(火) 14:04:26.25 ID:uH75Alhe0
そそりゃぁ1000回もセキュリティコード
入れられるシステム作った方でしょ。
入れられるシステム作った方でしょ。
150: 名無しさん@1周年 2018/12/18(火) 14:12:27.02 ID:vnDuei2+0
さすが paypay賢いな
161: 名無しさん@1周年 2018/12/18(火) 14:13:45.56 ID:LO/oJ7fU0
ぺいぺい「家族や知人を疑え!」
189: 名無しさん@1周年 2018/12/18(火) 14:17:53.19 ID:VDSCE7E90
これは、カード会社がブチ切れていい案件だろ
368: 名無しさん@1周年 2018/12/18(火) 14:54:25.28 ID:EWeqe+bJ0
カード会社は同一人物が認証を1000回ミスったとか知ってるはずだ。
リアルタイムでもログでも分かってるはずだ。
不正っぽいの見逃したカード会社が第一に悪い。
リアルタイムでもログでも分かってるはずだ。
不正っぽいの見逃したカード会社が第一に悪い。
388: 名無しさん@1周年 2018/12/18(火) 14:57:36.82
>>368
そこなんだよな?
「3回アウトにするか7回アウトにするか」はペイメント代行業者の仕事だろうが、「数マイクロ秒に
同一クレカ番号に100回以上の問い合わせが来てる」状態でアノマリーディテクトできん、って
おかしいだろ?
そこなんだよな?
「3回アウトにするか7回アウトにするか」はペイメント代行業者の仕事だろうが、「数マイクロ秒に
同一クレカ番号に100回以上の問い合わせが来てる」状態でアノマリーディテクトできん、って
おかしいだろ?
