引用ここから〜〜〜〜〜〜〜〜
1 ばーど ★ sage New! 2018/12/18(火) 17:25:48.67 ID:CAP_USER9.net
スマートフォン(スマホ)を使った決済サービス「ペイペイ」で、クレジットカードが不正に利用される被害が相次いで発覚した。セキュリティーの専門家によると、匿名性の高い闇サイト群「ダークウェブ」上では日本人のカード情報が大量に流出、流通しており、今回の不正利用との関連が疑われている。アプリにカード情報を登録する際の仕組みも悪用されており、不正対策の強化が求められている。
■数十件の被害
ヤフーとソフトバンクが出資する決済会社のペイペイ(東京・千代田)は今年10月、スマホを使った決済サービスを始めた。スマホにペイペイのアプリをダウンロードし、スマホにQRコードを表示して店側が読み取ることでキャッシュレス決済ができる。
ペイペイは12月4〜13日まで総額100億円を還元する大規模なキャンペーンを実施。支払った額の2割を還元する内容で、このキャンペーン時に、他人のカード情報をアプリに入れて買い物をするなどの不正利用があったとみられる。被害は数十件に上るとみられ、既に警視庁にも複数の被害相談が寄せられている。
■闇サイトで入手か
匿名性の高い闇サイト群「ダークウェブ」は特殊なソフトがないと閲覧できず、発信元の特定が難しいサイトの総称で、違法薬物や銃器が取引され、犯罪収益の資金洗浄にも使われる。セキュリティーの専門家によると、ダークウェブ上には、クレジットカード番号や数字3桁のセキュリティーコードなど、カード決済に必要な情報が売買されている「闇市場」が複数存在する。日本人のカード情報も大量に流通しており、今回の不正に使われたカード情報との関連も疑われるという。
別の専門家によると、ダークウェブではクレジットカード情報が1件あたり数ドルで売買されている。日本人のカードは与信力が高いとされ、1件あたり10ドルを超え、さらに有効期限までが長いと100ドルほどになることもあるという。
■ロックかからず
ペイペイのアプリの利用にはカード番号やセキュリティーコードなどを登録する必要があるが、これまではセキュリティーコードなどを複数回、間違えてもロックがかからず繰り返し入力できたという。
インターネットサイトのログイン時や、ネット上のカード決済時にはパスワードやセキュリティーコードを複数回間違えて入力すると、ロックがかかる仕組みの場合が多い。しかし、ペイペイのアプリでは間違ったセキュリティーコードを入力してもロックがかからず、何度でも入力できるシステムだった。
セキュリティーに詳しい国際大学GLOCOMの楠正憲客員研究員は、クレジット番号やセキュリティーコードについて「数字の組み合わせを手当たり次第に試し、正しいコードを探り当てる『総当たり攻撃』が行われた可能性がある」と話す。ダークウェブ上の情報に加え、こうした手法で入手した情報が不正利用に使われたとみられる。ペイペイは入力回数に上限を設けるなどの改善策を既に取ったという。
■誰が補償するのか
今回、不正利用に遭った被害者への弁済はどうなるのか。ペイペイの広報担当によると「基本的には顧客の補償はクレジットカード会社が実施する。その上で、カード会社とペイペイで補償についてどちらが負担するかなどを協議する」としている。ペイペイは身に覚えのない請求が来た場合、カード会社に確認するよう呼びかけている。
一般社団法人、日本クレジット協会(東京・中央)によると、2017年のクレジットカードの不正利用被害額は236億円に上る。00年の308億円をピークに減少が続いていたが、12年の68億円から増加に転じ、被害は年々拡大している。
被害の大半は、カード情報を不正に使われる番号盗用被害だ。同協会の担当者は「インターネット上のカード決済が広がり、本体を偽造しなくても不正利用ができるようになったため」と分析している。
今回の不正利用について、警視庁は今後調べを進めるとみられるが、ダークウェブ上でカード情報を売買している場合、それぞれの身元を確認するのは難しいという。
https://www.nikkei.com/content/pic/20181218/96958A9F889DE1EBE2E5E3EAEBE2E3EAE3E0E0E2E3EA9191E3E2E2E2-DSXMZO3907170018122018910E00-PN1-4.jpg
2018/12/18 11:47
日本経済新聞
https://www.nikkei.com/article/DGXMZO3907189018122018CC1000/
2 :名無しさん@1周年: New! 2018/12/18(火) 17:26:19.49 ID:YTqBXHO+0.net
なんか胡散臭いな
5 :名無しさん@1周年: New! 2018/12/18(火) 17:27:56.65 ID:+Dpa3OdC0.net
>>1
>補償はカード会社とペイペイでどちらが負担するかを協議
いやお前が全額補償しろよ
なに痴れっとカード会社の責任にしてんの?
7 :名無しさん@1周年: New! 2018/12/18(火) 17:29:09.19 ID:xKSGMH8w0.net
カード会社も無制限に認証叩けるようにするなよ
9 :名無しさん@1周年: sage New! 2018/12/18(火) 17:29:51.79 ID:rlRhN/LOO.net
スタートアップ時にこんな騒動起こしたら、開発責任者はクビやなw
10 :名無しさん@1周年: sage New! 2018/12/18(火) 17:30:07.34 ID:Wyl34F4h0.net
クイックペイとか関係ないけど似た名前のシステムが風評被害に遭いそうw
11 :名無しさん@1周年: sage New! 2018/12/18(火) 17:30:24.77 ID:0cbcIebI0.net
PayPayが負担すべき
12 :名無しさん@1周年: sage New! 2018/12/18(火) 17:31:01.88 ID:o0umfxEh0.net
ペイペイでのクレジットカード利用はカード番号、有効期限、セキュリティコードの入力のみ
カード番号がわかれば、総当たりかな
15 :名無しさん@1周年: sage New! 2018/12/18(火) 17:31:48.26 ID:aKOn9ODc0.net
>>12
カード番号だって総当たりだろ
21 :名無しさん@1周年: sage New! 2018/12/18(火) 17:33:17.76 ID:cWzOkud90.net
>>12
カード番号自体やられている可能性もある
過去に流出が判明していないカードも安心出来ない状況ってもう最悪だわ
13 :名無しさん@1周年: sage New! 2018/12/18(火) 17:31:47.74 ID:dbr8qWdE0.net
闇サイトってほんとに在るのか
14 :名無しさん@1周年: New! 2018/12/18(火) 17:31:47.82 ID:oLbqomQD0.net
16桁、実質9桁でも良いが、
そこに名前と有効期限が加わわってるし。
総当たりでは通らないと思うけどね。
25 :名無しさん@1周年: sage New! 2018/12/18(火) 17:33:59.49 ID:aKOn9ODc0.net
>>14
残念
paypayは名義人の入力不要だからw
何にも知らないじゃんw
40 :名無しさん@1周年: sage New! 2018/12/18(火) 17:38:40.33 ID:cWzOkud90.net
>>14
何桁かはカードの種類によって固定らしく、ランダム部分が10億通りだとするとそのカードが10万枚発行されていたら1万分の一でアタリに辿り着く
でもカード期限が5年分で60通り、セキュリティコード1000通りだから1億分の1か
やっぱ、過去流出リストでセキュリティコードだけ総当たりってやってそうだな
アタリハズレの反応ってどれくらいで返ってくるんだろうか?
プログラムでPCにやらせたとして1時間で何通りくらい試せるんだろう?
16 :名無しさん@1周年: sage New! 2018/12/18(火) 17:31:53.31 ID:aWjUcxtT0.net
保証なんてペイペイがする以外有り得ねーだろ
てかなんでまだ普通にサービス提供してんの?営業停止させろよ
17 :名無しさん@1周年: sage New! 2018/12/18(火) 17:32:03.32 ID:rlRhN/LOO.net
信用照会量が増えるのを避ける為に、信用照会やってないんじゃないか?って疑念も出てくるなあ…
23 :名無しさん@1周年: sage New! 2018/12/18(火) 17:33:34.76 ID:4iUXaQOb0.net
paypayのアクワイアラのカード会社とpaypay本体が協議してるんだろ
カードホルダーは論外としてイシュアが負担するとも思えん
45 :名無しさん@1周年: sage New! 2018/12/18(火) 17:39:44.08 ID:N9p2WkXV0.net
>>23
カード会社は保険会社と話すのだが、ペイペイサイトの間抜けが原因だから保険会社が負担するはずもなく
で、ペイペイも払うなんて考えてないから、結局はカード名義人が負担と予想
27 :名無しさん@1周年: sage New! 2018/12/18(火) 17:34:10.69 ID:UZg7iwv90.net
負担をしてもらうにはpaypay使ってセキュリティコード割り出したクレカと証明しないといけないのかな
不正利用自体は別方面からも色々ありそうだけど
30 :名無しさん@1周年: sage New! 2018/12/18(火) 17:35:32.25 ID:Dz6effIk0.net
ペイペイ使ってなければ安心とか考えてる人多そう
アプリ入れてる入れてないの問題じゃないのに
41 :名無しさん@1周年: sage New! 2018/12/18(火) 17:38:45.13 ID:rlRhN/LOO.net
>>30
今日社食で話したらみんなその認識だった。
説明したら明細チェックしはじめてワロタ
35 :名無しさん@1周年: New! 2018/12/18(火) 17:37:50.27 ID:W+H8lFWvO.net
闇サイトで検索したのになんもでてこん
38 :名無しさん@1周年: sage New! 2018/12/18(火) 17:38:27.97 ID:hrWyUbOs0.net
現実に被害が出てる時点で擁護のしようがないのよね…
てか現時点でも無制限で通してるの?対策するって言っただけ?
39 :名無しさん@1周年: sage New! 2018/12/18(火) 17:38:35.25 ID:RXoloaN00.net
金融庁はさっさとペイペイのサーバーログを押収しろよ
セキュリティコードを何度も入力し直してる痕跡なんかすぐに判るだろ
43 :名無しさん@1周年: New! 2018/12/18(火) 17:39:09.23 ID:C9aFfgXf0.net
何その
ダークコンドルみたいな名前
46 :名無しさん@1周年: sage New! 2018/12/18(火) 17:39:48.92 ID:UZg7iwv90.net
セキュリティコード何百回も試行してるログとかあるならそっちから割り出せそうではあるか
47 :名無しさん@1周年: sage New! 2018/12/18(火) 17:41:02.38 ID:aKOn9ODc0.net
>>46
割り出してどうすんの?
IPまともにさらしてると思う?
50 :名無しさん@1周年: sage New! 2018/12/18(火) 17:41:40.90 ID:rlRhN/LOO.net
>>46
まあ、大抵は3点セットで漏れてるのを使ったんだろうな。
52 :名無しさん@1周年: sage New! 2018/12/18(火) 17:42:34.49 ID:hrWyUbOs0.net
>>46
登録数が多いのでログは24時間で回してまーす
……とかないよね?
51 :名無しさん@1周年: New! 2018/12/18(火) 17:42:05.33 ID:mTDoUEQ10.net
ダークウェブってどうやって見られる?教えてエロい人
58 :名無しさん@1周年: New! 2018/12/18(火) 17:44:13.48 ID:fp02pifY0.net
トライに制限回数を設定するべきだった
それに名前がいらないなんてアホすぎる
ペイペイ側の責任だろ
61 :名無しさん@1周年: sage New! 2018/12/18(火) 17:44:36.47 ID:mDlaeCtJ0.net
ペイペイはカード会社とペイペイでペイペイしろよ
67 :名無しさん@1周年: New! 2018/12/18(火) 17:45:35.71 ID:pmREDXod0.net
ダークコンドルが裏で糸を引いてる
75 :名無しさん@1周年: New! 2018/12/18(火) 17:47:03.64 ID:5StbAzcW0.net
ここは恐ろしいインターネッツですね
〜〜〜〜〜〜〜〜引用ここまで