コード決済の新サービスで、20%還元で大きな話題になったPayPayは、不正利用問題について報告。来年1月からのクレジットカード登録時のセキュリティー強化を約束した。
セキュリティーコードの入力回数制限無しは主原因にあらず
流出したカード情報の利用の可能性大
不正利用の報道で当初問題視されたのは、クレジットカード登録時にセキュリティーコード(一般にカードの裏側に記載されている3桁または4桁の数字)を回数制限なく入力できる点。12月18日のアプリ強制更新時に入力回数を制限する使用に変更している。
PayPayによると、セキュリティーコードを20回以上入力してカードを登録した例は13件で、実際に利用があったのは9件。しかし、この9件はすべて本人による利用を確認済みとする。
このことはセキュリティーコードの回数制限が無かった点は不正利用の主要因ではなく、そもそもセキュリティーコードを含む、カード情報が何らかの方法で入手され、それがPayPayに登録された可能性が高いと判断。その場合、上記の入力回数の制限追加は根本的な対策にはならないため、新たなセキュリティー強化の仕組みを導入することとなった。
具体的には、クレジットカード登録時に「3Dセキュア」に対応する予定。これはクレジットカード番号、セキュリティーコードに加えて、カード発行会社に登録するパスワード(MyJCB、VISA認証サービス、Mastercard SecureCodeなど。あらかじめ登録したパスワードのほかに、SMS認証やスマホアプリでワンタイムパスワードが可能な例も)の3つの要素を組み合わせるもので、ECサイトなどで体験したことがある人も多いだろう。
なお、PayPayではカード会社との連携を進め、ユーザーの申告によりカード会社での不正利用の疑いが確認された場合は、返金額を同社が補償することを約束している。
週刊アスキーの最新情報を購読しよう
本記事はアフィリエイトプログラムによる収益を得ている場合があります