ぺいぺい雑感

今回のPayPayの騒動でブコメを見ていて、クレジットカードの仕組み、特にオンライン決済にかかる仕組みの認識がどうも共有されていないんじゃないかな、という気がしたので、自身の認識の整理も兼ねてちょっと補助線になるようなエントリを書いてみます。

おまえ誰よ?

趣味で決済周りを追いかけています。プロではなくただの素人なので、専門家からのツッコミ歓迎。推測ばっかやんけ、というコメントはその通りなので反論できないのですが、是非具体例を交えてコメントいただければ。

そもそも何が問題だったの?

PayPayの「100億円還元キャンペーン」に乗じた不正決済が多発したこと*1。PayPayアカウントへのカード登録はカード番号、有効期限、CVC/CVVが必要だったものの、PayPay非利用者であっても不正利用の対象になった事例が散見されたため大きく問題となりました。

PayPayのカード情報登録って?

PayPayでの決済に際し、予めアカウントと紐付けたクレジットカードから支払うことができます。今回の問題はこのサービスに起因するものです。これは決済代行サービスとみることができますが、カード会社(アクワイアラ、イシュア)から見れば売り上げ処理上は巷のECサイト(加盟店)と何ら変わりありません。

不正利用ならアカウントへのカード登録時に試行回数を制限すればよいのでは?

問題発覚当時、アカウントへのカード登録に際しては試行回数に制限が掛かっていなかったため、ねとらぼ等でも取り上げられました。これをきっかけにtwitter等でもPayPayの設計が悪いと総バッシングになったのは記憶に新しいところです。

編集部でも実際に試してみたところ、カード番号と有効期限を入れてから、セキュリティコードを10回ほど間違えても特にロックはかかりませんでした。

http://nlab.itmedia.co.jp/nl/articles/1812/16/news020.html

が、最近のモダンなECサイトであれば、ユーザーのカード情報は原則「非保持・非通過」となっているはずです。ECサイト側でPCI DSSの監査認証を取得していない限り、自社でカード番号等の機密情報を取得・保管するのはリスク以外の何物でもなく、普通の会社であればそんな選択肢は検討の余地すらないはずです*2

カード決済全体の流れとしては「非保持・非通過」でありECサイト側では保存はもちろんカード番号そのものに触れなくなっているので、この種のチェックの主体は決済代行事業者やカード会社という線引なのだと思います

https://twitter.com/ockeghem/status/1075355119573581826

逆に、現時点でPayPay自体はPCI DSS認証を取得していないとみられることから、カード情報の取り扱いについては他社へ委託しているはずで、今回のリリースを見る限りではアクワイアラはYahooだったようなので、Yahoo側のシステムでの決済となっていたのではないかと思われます。

となると、PayPayによるカード番号に基いた何らかの制限(試行回数の制限設定等)は絵に描いた餅でしかなく、それを実現するには

  • PayPay側でPCI DSS認証を取得する
  • 3Dセキュアを組み入れる
  • PayPayより上流側の決済サービスで何らかの制限を掛ける

くらいしか手の打ちようがないのは容易に想起されるでしょう。このうち現実的な対応策としては3Dセキュアくらいしかないですが、ユーザーの手間が大きくなることもあり、大型キャンペーンに際して新規ユーザーの獲得率を上げるためにもあえて外した可能性はあります。

不正利用の補償をPayPayがするということは自身が悪かったと認めたということ?

いいえ。と言うのもアレですが、ここ数年でECサイト上での不正利用に関しては原則ECサイトが負担するというルールになりつつあるようです*3

最終的にはアクワイアラと加盟店との間の契約に依るかと思いますが、大手決済代行会社のペイジェント社による解説資料にもあるように、3Dセキュアを導入していたにも関わらずそれが破られた場合のみカード会社もしくは決済代行会社が不正利用に関する補償を行う、というように、加盟店側で特段の対策を打たない場合は補償しない、という事例もあるようです。

[PDF]チャージバックが発生した場合はカード会社及びペイジェントによる補償はありません

https://www.paygent.co.jp/start/pdf/chargeback.pdf

今回、上述の通りPayPayはサービスイン当初から3Dセキュアには非対応だったこともあってか不正利用についてはPayPay側が負担することで決着がついたものと思われますが、比較的早期にリリースが出たことから当初から不正利用はある程度織り込み済みで、保険等で対応するような想定だったのかもしれません。

3Dセキュア(本人認証サービス)の対応と、クレジットカード不正利用への補償について

https://paypay.ne.jp/notice-static/20181227/01/

ちなみに実店舗等でのオフライン決済においては今年改正割賦販売法が施行されたことでご存じの方も多いと思いますが、いわゆるEMV対応が求められるようになりました。これに伴い、2020年までに磁気カードによる決済は終了という流れになっており、当然不正利用の補償も磁気カードによる決済については加盟店負担となりつつあるようです*4

じゃあ何が問題だったわけ?

PayPayのリリースによればカード情報登録時の試行回数が20回を超えるようなケースは高々十数回だったとのことなので、カード番号、有効期限、CVC/CVVがセットで既に様々なところから流出していて、それらがこのタイミングで使われたとみるのが妥当でしょう。

総当たりに関しては、今回のインシデントに限っては影響は軽微だったのではないかと思われます*5

既にtwitter上でも指摘されていますが、敢えて言うなら、

  • 実店舗で
  • 決済時の本人確認がほぼ不要で
  • 流出したカード情報を使いやすく
  • 大型キャンペーンに不正利用を紛れ込ませやすく
  • 高額の取引ができる

という、PayPayのサービスモデルそのものが脆弱性だった、と帰結せざるを得ないでしょう。

一応、公式には3万円以上の決済には本人確認必須だったそうですが、実施していない店舗が大半だったという話ですし、そもそも仮に決済時に本人確認をしたとしても身分証とPayPayへの登録情報との照合のしようがないので何を以て本人確認という話だったのか、と思わざるを得ません。まさか店舗側の決済記録に誰が決済したという記録を残せという話でもないでしょうし。

ここまでの反響になるとPayPay側も想定していたのかわかりませんが、これだけ大きく報じられるセキュリティインシデントはそうそうあるものでもないので、今後のためにも是非公開できる資料については積極的に公表いただきたいものです。

教訓は?

よくキャッシュレス推進のコメントを見かけるはてブですら曖昧な理解のまま今回の件にコメントしているケースが多かったので、ちょっとびっくりしました。

PayPayなんて使っていないのに不正利用の恐れがあるなんて迷惑だ、というコメントを非常によく見かけましたが、そもそもクレジットカードなんて最低限カード番号と有効期限さえ適正であれば決済が通る代物なわけで、今回のPayPay以外にも国際ブランドであれば世界中どこでも不正利用されうる可能性があるわけです。

それに対してどれだけ不正対策を施すか、というのにイシュア、アクワイアラであれば過去の取引パターンから異常取引検知をしたり、加盟店であればCVC/CVV/3Dセキュアの利用、あるいは自社サービスとのユーザー名の一致不一致を見てみたり、と様々に知恵を絞っているわけですが、今の仕組みだと最終的にはユーザー宛に届く利用明細書をユーザー自らが確認するよりも効果的な手法はないわけですよね。

そういう意味では昨今カード会社(イシュア)が利用明細書の郵送送付を有料化しているのは自分で自分の首を絞めるような話かと思いますが、それはそれとして。

よく言われますが不正利用に際してはいきなり大きな金額を使おうとするのではなく、流出したカードについては過去に小口の不正取引が数件記録されていた可能性があります。その時点でユーザーが気づいていれば大きな被害に繋がることは防げたかもしれなかったわけで、非常に残念と言わざるを得ません。

個人的には相当数の国内利用者のカード情報がCVC/CVVとセットで流出していたようだ、というのがかなり衝撃で、キャッシュレス推進の大きな流れが変わることはないと思うものの、ちょっと踏みとどまるような動きに繋がるかもしれないな、と思うような出来事でした。

*1:ただし、不正利用の件数及び総決済金額は今のところ非公表

*2:むしろ、カード番号で試行回数を制限できるような仕組みになっていればそちらの方が余程問題

*3:厳密には意味合いが異なりますが、いわゆるチャージバックルールのこと

*4:なお、ICチップによる決済の不正利用は実カード+PINコードが必須のため、第3者による決済が通るということはユーザーの管理不行き届きとみなされ、補償のハードルは大分高くなったと思います

*5:カードの仕組み上総当たり探索が有効なのかどうかというのは自分の中でも結論が出ていないので、ここでは言及しません