PayPay 数億円の被害が出ているのに不正行為をした人はたったの4人だけ?

ポケットマネー

PayPayは不正利用による被害者は4人程度と自社のサイトで27日に明らかにしたが、2日後の東京新聞ではその被害総額は数億円にのぼると発表がありました。

4人だけ数億円の被害とはどういうことなのでしょうか?

PayPayが被害を低く見積もっているのでしょうか?

この2つの大切なニュースを記録しておきます。

PayPayからのお知らせ(2018年12月27日)

3Dセキュア(本人認証サービス)の対応と、クレジットカード不正利用への補償について

PayPayをご利用の皆さまに3Dセキュア(本人認証サービス)への対応に関して、また、PayPayでクレジットカードの不正利用の被害にあわれた方への補償に関してお知らせいたします。

■3Dセキュアの対応に関して

PayPayでは、クレジットカード不正利用の対策として、2019年1月に3Dセキュアに対応いたします。クレジットカードを登録いただいたお客様に3Dセキュアのパスワードを入力いただきます。決済のたびに入力いただく必要はございません。

3Dセキュアとは、事前にカード発行会社に登録したパスワードを入力いただくことで本人認証を行い、不正利用を防ぐ仕組みです。3Dセキュアを利用するには、事前にカード発行会社でパスワードの登録を行う必要がございますので、予めご登録いただけますようお願い申し上げます。

・本人認証サービス(3Dセキュア)

PayPayでは、クレジットカード不正利用の対策の一つとして、12月18日にセキュリティコードを含むクレジットカード情報の入力回数に制限を設けました。しかし、調査の結果、クレジットカード登録時にセキュリティコードを20回以上入力し登録に至った件数はPayPayのサービス開始以来13件であり、クレジットカード情報の入力回数に制限を設けるだけでは根本的な対策にはならないと判断しました。

PayPayにおける不正利用の主な要因は、悪意ある第三者が何らかの方法で、外部で入手したセキュリティコードを含むクレジットカード情報が利用されたことである可能性が高いため、このたび3Dセキュアの対応を決定いたしました。
また、上記13件のうち、PayPayでの利用があった9件について、カード会社と連携しご利用状況を確認したところ、全てご本人による登録と利用であったことが判明しています(2018年12月27日現在)。(Seigoの補足:つまり残り4人のみがクレカを不正に登録した?

なお、3Dセキュアの対応が完了するまでの対策として、12月21日に「クレジットカードご利用時の上限金額の設定」を実施いたしました。3Dセキュア対応後、3Dセキュアの有無によって、お客さまごとにそれぞれ異なる上限金額の範囲でご利用いただくこととなります。皆さまには、ご不便をおかけいたしますことお詫び申し上げます。

■補償に関して

上記の13件(うち9件が本人利用を確認済み)以外にも、このたびの調査で判明したセキュリティコードを一定回数以上入力し登録に至ったクレジットカードのなかで、PayPayでの利用があったカードに関して、カード会社と連携を進めております。
これらのカードにおいて、カード会社で不正利用の疑いが確認された場合は、カード会社よりご連絡を差し上げ、請求停止や返金等の措置を行っていただくよう要請を行っております。なお、返金額については弊社が全額を補償いたします(※)。
また、お客さまの申告によりカード会社にて不正利用が認められた場合は、同様にカード会社より請求停止や返金等の措置を行い、弊社が返金額の全額を補償いたします。カード会社の会員サイト等でご利用明細をご確認いただき、身に覚えのないPayPayでのクレジットカード利用があった場合は速やかにカード会社にご連絡いただけますようお願いいたします(※)。

弊社は、クレジットカードの不正利用が発生したことを重く受け止め、上記を含めたさまざまな対策を講じ、安全・安心なサービスの運用に向けて全力で取り組んでいきます。

※ カード会社からの不正利用の申請に基づき、加盟店管理会社であるヤフー株式会社を経由して、弊社が不正利用の返金額全額を補償いたします。

____________________  「PayPayからのお知らせ」終わり

PayPayのクレジットカードを追加する時の画面(平成30年12月31日現在)


 

ペイペイ被害が数億円に 経産省など、本人確認指針策定へ(東京新聞、2018年12月29日)


 スマートフォンを使った決済サービス「ペイペイ」をめぐるクレジットカードの不正利用問題で、被害額が数億円にのぼる見込みであることが二十八日わかった。経済産業省関係者が明らかにした。ほかのQRコード決済サービスでも同様の被害があるといい、経産省と業界団体は三月末までに、決済サービス事業者に最低限の本人確認を求める指針を定める。 (吉田通夫)


 ペイペイはソフトバンクとヤフーが折半出資した合弁会社で、買い物時に客がスマホでQRコードを読み取り、登録したカードなどから代金を引き落とす決済サービスを十月に開始。しかし本人確認が甘く、今月に入って、第三者が何らかの手法で入手したカード情報を登録して利用する不正が急増した。


 ペイペイは二十七日に被害額をすべて補償すると発表したが、被害規模は調査中として明らかにしていなかった。


 クレジットカードを使った通信販売の場合は商品の受け取り用に住所などを入力する必要がある。店頭で買う場合もカード現物が必要。これに対して、QRコード決済は、住所入力もカード現物も不要なため不正に利用されやすい。特にペイペイは今月四~十三日に決済額の20%分のポイントを還元する大規模キャンペーンを展開したため不正利用が増えたが、ほかのQRコード決済サービスでも同じ手口の被害はあるという。


 このため、経産省とQRコード決済事業者やクレジットカード会社などでつくる「キャッシュレス推進協議会」は二十八日、決済サービス事業者がとるべき本人確認手段をまとめたガイドラインを来年一月から作り始めると発表。三月末までに、利用者がカード情報を登録する際にスマホに確認のメールを送るなど最低限の指針を定める。

〔東京新聞 TokyoWeb より、2018年12月29日 朝刊〕

PayPayのクレジットカードをえらぶ画面(平成30年12月31日現在)


 

Seigoの追記

数億円も被害が出ているのにPayPay側はクレカを不正に登録できたのは4人程度としています。

数億円って2〜6億円ですよね。一人あたり1億円近くも不正に使ったのでしょうか?

不正使用に成功したのは何人か?

これはPayPayを通しての不正だけのようですので、1回当り3万円以下の不正使用となるはずです。なぜなら3万円以上の利用は本人確認が必要だからです。

なので1回あたり約2万円の不正使用として計算すると、数億円では20,000件くらいあったと考えられます(被害額を4億円として計算)。

不正に成功した人は2万円だけで終わらず10回分(約20万円相当)は使用するだろうから、この不正には約2,000人くらいの人が関わったかも知れません。

PayPay社のバックにはソフトバンクとYahoo!がついているので、100億円キャンペーンで100億円を使い、さらに数億円くらいかかってしまったくらいの小さな被害かもしれないですが、PayPayという1つの不完全なアプリによってクレジットカード業界全体の信頼が揺らいでしまったことの責任は大きいでしょう。

関連記事一覧

  1. この記事へのコメントはありません。