J-CAST ニュース ビジネス & メディアウォッチ
閉じる

PayPay不正でも利用? カード情報盗む「クレジットマスター」とは一体何なのか

   スマートフォン決済サービス「PayPay(ペイペイ)」が、クレジットカード登録に必要なカード番号・有効期限・セキュリティコードの入力回数に制限を設けた。2018年12月18日の強制アップデートで導入されたという。サービスを運営するPayPay(本社・東京都千代田区)広報が同日、J-CASTニュースの取材に明かし、公式ツイッター・フェイスブックでも発表した。

   ペイペイをめぐっては、総額100億円を還元するキャンペーンが注目された一方、「身に覚えのないカード利用請求が届いた」という不正被害の報告がツイッター上で続々とあがっていた。カード番号などの入力回数に制限がなく、組み合わせを間違えても何度でも入力できたシステムを悪用されたと見られる。有効なカード番号などを不正に割り出す手口としては「クレジットマスター」が知られており、ペイペイでもこの手口が使われた可能性がある。

  • 入力回数制限の導入を伝えたPayPay公式ツイッター
    入力回数制限の導入を伝えたPayPay公式ツイッター
  • 入力回数制限の導入を伝えたPayPay公式ツイッター

使ってないはずのカードで勝手に...

   PayPay広報によると今回のアップデートにより、入力回数に制限が設けられ、何度か間違えるとロックがかかるようになったという。不正対策のため、「回数の上限など詳細は明かせません」としている。

   これまでは消費者の利便性を優先し、回数制限を設けていなかったが、身に覚えのない利用請求の報告が相次いだ問題を受け、至急対策をとった。「ペイペイからカード情報が漏洩した可能性はなく、どこかで不正に割り出されたカード情報の利用先としてペイペイが使われたと見られます」と話している。

   カード不正利用の被害は、ペイペイに限らず起きている。最近でも2018年12月11日、ツイッターにこんな投稿があり、注目された。カード会社から電話があり、数十回の利用歴があったと知らされたものの、身に覚えがない。すぐにカードを停止してもらい、支払いもせずに済んだという。そのカードは、入会特典にひかれて作成したが、その後は決済に使ってもいなければ、ECサイトなどへの登録もしていなかった。不正の手口は「クレジットマスター」だったのではないかとしている。

   投稿は7000回以上リツイートされ、「私も経験あります」「私も一度あったので、本当に怖い」「うちの父のカードも先日不正利用されたらしい」など、同じような被害に遭った経験があるという声も寄せられた。

   今回問題になっているペイペイ不正も、「クレジットマスター」によって割り出されたカード情報が使われたのでは、との見方がある。

   「クレジットマスター」とはどんなものか。J-CASTニュースが日本クレジット協会業務企画部の担当者に聞くと、「簡単に言えば、カード番号の規則性を悪用し、利用可能なカード番号・有効期限・セキュリティコードを、コンピュータープログラムを使って割り出す手口です」と説明。このツイッター投稿のケースのように、「支払いに使ったこともサイトに登録したこともないカードでも、番号が割り出される可能性はあります。存在する利用可能なカードは全て攻撃対象になり得ます」と指摘した。

一般消費者は「防ぎようがない」

   個人でできる対策方法はあるのか。担当者は、

「一般消費者の目線で見ると、自分のまったく知らないところで番号を割り出されるので防ぎようがないのが現状です。直接的な対策は見つかっていません。できることは、使っていないカードでも毎月利用明細を確認していただくことです。これは当協会でも徹底して啓発しています」

と話している。

   業界では、認証の段階を増やすことでセキュリティの強度をあげている。

「クレジットマスターに限ったことではありませんが、カード番号と有効期限だけで決済されてしまうようなサイトは狙われてしまいます。3~4桁のセキュリティコードが加わっても、結局数字なので、同じようにプログラムの攻撃で割り出されてしまう危険はあります。

そこで、『3Dセキュア』という本人認証用の英数字パスワードを設定してもらうよう、当協会としてカード会社に推奨しています。認証が複雑化し、一旦歯止めがかかります。さらに『パズル認証』など人の目で認識したものを入力する認証方法もあります。しかしそれでも、不正する側はクレジットマスターで番号を割り出した後、人の操作でやってしまうという『合わせ技』をすることも考えられます」(日本クレジット協会担当者)

カギとなるのは「3Dセキュア」導入

   カード会社も手を焼く。JCB(本社・東京都港区)は取材に対し、「クレジットマスターを使用する人々は、使えるカード番号を1個見つけたら、それを複数の加盟店に転用することが多いです」と話す。

「ある加盟店で異常に多い回数・金額の利用がされるなど、クレジットマスターのような被害に遭っていると思われるカード番号は、モニタリングを強化します。その後、同じ番号が別の加盟店でも使われたら、利用を止めたり、ご本人様に電話でヒアリングしたりするなどの対応を取ります」

   3Dセキュアの「MyJCB」を導入しており、設定すれば「セキュリティレベルが格段にあがる」という。一方、仮に不正利用被害に遭った場合、「お客様にご申告いただいて個別に対応し、お客様に過失がないと判断されれば、請求金額は当社で負担させていただいています」と話している。

   楽天カード(本社・東京都世田谷区)も3Dセキュアに対応している。広報担当者は取材に、クレジットマスターをはじめとした不正対策について、「当社にて不正利用のモニタリングを行い、不正利用の防止に努めております」と回答。カード利用者に対しては、「お客様ご自身で利用明細などをご覧いただき、不審な点がある場合は、楽天カードコンタクトセンターまで電話にてご相談いただくよう、ご案内しております」としていた。

   ペイペイでは、3Dセキュアに対応していない。カード番号・有効期限・セキュリティコードの組み合わせさえ分かれば、そのカードは支払いに使えることになる。ITジャーナリストの三上洋氏はツイッターで17日、「PayPayでの総当たり方式・クレジットマスター手口の可能性高まる」と指摘し、「3Dセキュア必要ですね。特に決済そのものを行うとサービスでは、登録時の3Dセキュアはマストだと思っています」との見解を投稿していた。