PayPay不正でも利用? カード情報盗む「クレジットマスター」とは一体何なのか
スマートフォン決済サービス「PayPay(ペイペイ)」が、クレジットカード登録に必要なカード番号・有効期限・セキュリティコードの入力回数に制限を設けた。2018年12月18日の強制アップデートで導入されたという。サービスを運営するPayPay(本社・東京都千代田区)広報が同日、J-CASTニュースの取材に明かし、公式ツイッター・フェイスブックでも発表した。
ペイペイをめぐっては、総額100億円を還元するキャンペーンが注目された一方、「身に覚えのないカード利用請求が届いた」という不正被害の報告がツイッター上で続々とあがっていた。カード番号などの入力回数に制限がなく、組み合わせを間違えても何度でも入力できたシステムを悪用されたと見られる。有効なカード番号などを不正に割り出す手口としては「クレジットマスター」が知られており、ペイペイでもこの手口が使われた可能性がある。
-
入力回数制限の導入を伝えたPayPay公式ツイッター
使ってないはずのカードで勝手に...
PayPay広報によると今回のアップデートにより、入力回数に制限が設けられ、何度か間違えるとロックがかかるようになったという。不正対策のため、「回数の上限など詳細は明かせません」としている。
これまでは消費者の利便性を優先し、回数制限を設けていなかったが、身に覚えのない利用請求の報告が相次いだ問題を受け、至急対策をとった。「ペイペイからカード情報が漏洩した可能性はなく、どこかで不正に割り出されたカード情報の利用先としてペイペイが使われたと見られます」と話している。
カード不正利用の被害は、ペイペイに限らず起きている。最近でも2018年12月11日、ツイッターにこんな投稿があり、注目された。カード会社から電話があり、数十回の利用歴があったと知らされたものの、身に覚えがない。すぐにカードを停止してもらい、支払いもせずに済んだという。そのカードは、入会特典にひかれて作成したが、その後は決済に使ってもいなければ、ECサイトなどへの登録もしていなかった。不正の手口は「クレジットマスター」だったのではないかとしている。
投稿は7000回以上リツイートされ、「私も経験あります」「私も一度あったので、本当に怖い」「うちの父のカードも先日不正利用されたらしい」など、同じような被害に遭った経験があるという声も寄せられた。
今回問題になっているペイペイ不正も、「クレジットマスター」によって割り出されたカード情報が使われたのでは、との見方がある。
「クレジットマスター」とはどんなものか。J-CASTニュースが日本クレジット協会業務企画部の担当者に聞くと、「簡単に言えば、カード番号の規則性を悪用し、利用可能なカード番号・有効期限・セキュリティコードを、コンピュータープログラムを使って割り出す手口です」と説明。このツイッター投稿のケースのように、「支払いに使ったこともサイトに登録したこともないカードでも、番号が割り出される可能性はあります。存在する利用可能なカードは全て攻撃対象になり得ます」と指摘した。
