コラム

クレジットカードの不正利用を防ぐ!ネット通販の歩き方

2018年12月上旬、たった一つのキャンペーンがきっかけで、これまで関心を持つ人が少なかったキャッシュレス分野に大きな注目が集まりました。そのキャンペーンとはご存知の通り、PayPayの「100億円あげちゃうキャンペーン」です。

キャンペーン内容を簡単に振り返っておくと、

  • 支払い金額の20%が還元される
  • 条件に応じた確率で、上限10万円まで100%還元される
  • 還元総額が100億円に達するとキャンペーンは早期に終了する

といった前代未聞のスケールのキャンペーンでした。

支払い方法をPayPayにするだけでお得になるということで、一般消費者の関心を引き、Twitterトレンドに掲載されたり、テレビニュースにも取り上げられるなどの盛り上がりになりました。(サーバー停止トラブルなどのマイナス面の報道が大半でしたが…。)

大盛況で終わったPayPayの100億円キャンペーンでしたが、問題はここからでした。アプリの実装に問題(何度もセキュリティコードを入力できる仕様)があり、この穴が悪用されクレジットカードを不正利用される事件が多発しました。この事件によって、PayPayのセキュリティ意識の低さに大きな批判が集まるようになりました。

確かにPayPayアプリ側に問題がありますが、それ以前の問題だったのでは?と考えています。不正利用の被害にあった方は、日頃のネット通販の歩き方に問題があると思いますので、被害の可能性を極限に減らす方法を解説していきます。

PayPayが批判される理由は?

この記事を読む上で、筆者と読者の皆様との間で認識を揃えておきたいと思います。PayPayが批判されている理由について振り返っておきましょう。

理由1:セキュリティコードが何度でも入力できてしまう

「クレジットカードの追加」を行う際には、

  • クレジットカード番号
  • 有効期限
  • セキュリティコード

を入力する必要があります。3項目のうち、ひとつでもミスがあると、入力ミスとされて登録ができません。一般的には入力ミスが所定の回数に達すると、登録制限がかけられます。しかし、PayPayでは初心者に優しくするあまり、入力ミスに対する制限は設けられていませんでした。

その結果、「セキュリティコード何度も入力できるじゃん!ゴミ仕様やんけ」という批判が集まるようになったのです。

理由2:PayPayを使っていない人も被害者になっていた点

事前にクレジットカードの連携設定を行うことで、PayPayを利用することができます。PayPayで支払いをすると、連携したクレジットカードから自動的に決済が行われる仕組みになっています。支払いに使われたクレジットカード明細には「PayPay XXXXX(お店の名前)」と記載されます。

PayPayを利用していない人がカード明細を見たときに、利用した記憶の無い「PayPay」という文字を目にします。不正利用が起きる原因を知らない人は「PayPayが問題の原因であり、悪者である」と勘違いすることでしょう。

「PayPayだけが悪者ではない」と指摘する人が少なく、PayPay批判の声が拡大したと考えています。Cashless JAPANでは猛烈にLINE Payを推していますが、この事件についてはPayPayの味方をしたいと思います。

PayPay批判に残る疑問点

PayPayのセキュリティを批判する記事をいくつか読みました。PayPayが正しくアプリ実装をしていれば起きなかった不正利用だと考えている人が多くいました。Cashless JAPANでは、今回被害に遭った方は、PayPay以外の方法で不正利用に遭う可能性が高かったと考えています。

話題に上がっていたPayPayが明細に載っていたことで気付くケースもあったことでしょう。普段の利用で有り得そうな通販サイトで少額で不正利用されていた場合、気づかない可能性も十分に考えられます。この事件で被害に遭った方は、逆にPayPayで不正利用されて良かったと捉えるべきだと思っています。(気を悪くされた方がいれば申し訳ありません。)

様々な記事でPayPayを悪者扱いしていますが、そもそも最大の疑問が残ります。

疑問:セキュリティコード以外の情報はどこから?

PayPayを批判する記事の中では、「セキュリティコードを何度でも入力できてしまう」と指摘されています。PayPayにクレジットカードを追加するときに必要な情報を、もう一度振り返っておきましょう。

  • クレジットカード番号
  • 有効期限
  • セキュリティコード

クレジットカード番号と有効期限はどこから手に入れたの?

これについて明確な答えを出している記事はありませんでした。それを明確にせずにPayPayを批判するだけでは、サービスを殺す運命しかありません。原因を探り、サービス繁栄に繋がる有益な批判が当たり前になる時代になって欲しいですね…。というメディア批判はここまでにしておきます。

本題に戻ります。クレジットカード番号と有効期限を知っている状態で、初めて「セキュリティコードを総当たりできる環境」が整うのです。クレジットカード番号は16桁、有効期限だけでも多数パターンあります。番号と有効期限は合致している必要があり、膨大なパターン数になります。それらの番号を正しく引き当てて、「セキュリティコードを総当たりできる環境」を手に入れるのは現実的には難しいです。

※クレジットカード情報を割り出す「クレジットマスター」という手口もあります。100%不可能という訳ではありません。(クレジットマスターはクレジットカード自体の弱さであり、PayPayの事件とは切り離して考えるべきです。)

つまり、以前からクレジットカード情報の流出していた可能性が高いと考えるのが自然です。

クレジットカード情報の流出はどうやって起こる?

以前から流出していた可能性が高いクレジットカードですが、なぜ流出が起こるのかを見ていきましょう。

ケース1:通販サイトが原因で流出する

通販サイトが原因でカード情報が流出するケースです。通販をメイン事業にする企業であれば、決済部分に開発コストも十分に割けますから、ほとんど問題ありません。最も危険なのは「受託制作で独自決済システムを構築している通販サイト」です。

受託Webサイト制作の現場では、見た目の実装担当する「フロントエンドエンジニア」とサーバー側の処理を担当する「バックエンドエンジニア」から1人ずつ、計2人で制作する場面がほとんどです。中には1人でフロントエンドとバックエンドの両方を担当するケースもあります。

見た目も整える必要があったり、要件も全て満たす必要があり、時間が足りない上にクライアントからの無茶な要望に挟まれ、テストが不十分なまま公開されることも珍しくありません。そんな状況で「決済システムを独自構築する=片手間でとりあえず動くものを作った」ということが起きます。

テストが不十分な決済システムには、致命的な穴がある可能性があります。この穴からカード情報が盗まれる可能性があるのです。

このケースの対策

具体的な対策方法は無く、信頼できない通販サイトは使わないようにしましょう。代わりに楽天市場やAmazonなどの大手通販サイトを利用してください。

信頼できない通販サイトでも、Stripeなどの有名決済システムを利用しているのであれば利用しても問題ありません。

ケース2:Wi-Fiから入力情報が盗まれて流出する

「Free Wi-Fiは危険」という話を聞いたことはありませんか?

これは同じアクセスポイントに接続している悪いコンピュータに「送信データを盗まれる危険性がある」から言われていることです。送信データは「端末→アクセスポイント→サーバー」という順でやり取りされます。一度アクセスポイントに情報が集約されるため、アクセスポイントでやり取りされるデータを解析すれば、送信データを傍受される危険性があるということです。

このケースの対策

最も簡単な対策として、「SSLが有効なWebサイトを利用」しましょう。URLの冒頭には「http」と「https」のどちらかが付いています。httpは暗号化されない、httpsは暗号化されます。暗号化されると、送信データは自動で暗号化されますので、SSL化されたWebサイトからの送信データは傍受されることは現時点ではありません。

SSLが有効なサイトはブラウザのURL部分に鍵マークが付きますので、これも積極的に確認するようにしましょう。

※送信データとは、例えばフォームに入力したメールアドレスやパスワードなどのことです。

ケース3:街中での決済の際に、店員に盗み見されて流出する

オフライン(街中)でクレジットカードを利用するとき、レジ担当の店員さんにクレジットカードを手渡すシーンがあります。クレジットカードが一度店員さんの手に渡りますので、その隙にカード情報を暗記される(スキミング)可能性があります。

このケースの対策

クレジットカードを渡している間は、よそ見せず店員さんの行動をチェックしておきましょう。店員さんを信頼すべきではありますが、赤の他人ですので何をされるか分からないという姿勢を持っておくべきです。

最近ではクレジットカードを店員さんに渡すことなく決済できる手段が増えました。

例えば

  • iDやQUICPayなどの電子決済(Felica)
  • PayPayやOrigami Payなどのスマホ決済
  • クレジットカードの非接触決済(payWaveなどのNFC決済)

クレジットカードを出す行為すら不要の手段がいくつかありますので、これらの活用して確実に回避することができます。

流出の原因を踏まえた、正しいネット通販の歩き方

クレジットカード情報が流出する原因を見てきましたが、心当たりのあるケースはありましたか?各ケースへの対策は確実に行いつつ、より安全にネット通販を歩いてみませんか?

歩き方1:決済プラットフォームを経由して支払う

決済プラットフォームとは、

  • Amazon Pay
  • PayPal
  • LINE Pay
  • PayPay

などのことを言います。支払い方法で決済プラットフォームを選択すると、連携しておいたクレジットカードから引き落としがされるというものです。決済プラットフォームが安全な理由は「通販サイトにカード情報を伝えずに支払える」という点です。

通販サイトにはカード情報を知らされませんので、決済プラットフォーム側で流出されなければ、情報流出の可能性は限りなくゼロに近くなります。

歩き方2:情報流出しても良い、捨てプリペイドカードを使う

通販サイトで利用するだけの要らないプリペイドカードを持っておくと便利です。プリペイドカードはチャージした分しか使えない仕組みなので、カード情報が流出した場合でも被害を極限に小さくすることができます。また、チャージ式なので残高を見ると異変に気づきやすくなります。

探していた商品が信頼できない通販サイトでしか販売されていないケースには、この方法を使うと比較的安全ですね。

歩き方3:信頼できない通販サイトは避け、他の通販サイトを利用しよう

信頼できない通販サイトで安く売られている場合にも利用を避け、他の信頼できる通販サイトで購入するようにしましょう。ただし、信頼できない通販サイトで決済プラットフォームでの支払いが可能であれば、全く気にする必要はありません。

万が一、不正利用されてしまったら?

どんなに気をつけていても、不正利用される可能性も考えられます。特にクレジットマスターという手口を使われてしまったら、利用者側は対策のしようがありません。

万が一、不正利用されたときの対処も覚えておきましょう。

方法はとても簡単で、カード会社に連絡をするだけです。プリペイド式のカードやデビットカードをご利用の場合にも、補償される可能性がありますので管理会社に早急に連絡をしてください。

この記事のまとめ:カード情報流出に気をつけよう

PayPay事件の話から始まった本記事ですが、まとめると…

  1. PayPayの不正利用事件はPayPayだけの問題ではない!
  2. そもそもクレジットカード情報が流れていた可能性が大きい!
  3. ネット通販や他の方法でもクレジットカード情報が漏れる可能性があるよ!
  4. 正しい情報を知っておき、被害者にならない努力をしよう!
  5. 決済プラットフォームは積極的に利用しよう!

ということです。学校の授業では習わなかった「ネット通販の正しい歩き方」をマスターして、被害者にならない努力をしましょう。

情報流出問題が出ると、「キャッシュレスってセキュリティ問題があるから現金が最強だよなぁ」と言う人もいます。現金は盗まれたら終わりで、泣き寝入りするしかありません。クレジットカードの不正利用は、不正利用が確認できれば被害0円で済ませられます。

落としたり、無くしたりしても実質無傷になれる魔法のカードなのです。(世間では違う意味で魔法のカードと言われますが…w)ただし、不正利用に巻き込まれると手続きが面倒くさいので、普段から気をつけて利用していくことを心がけましょう!

最近では様々な通販サイトが決済プラットフォームに対応しているので、積極的に活用しましょう。(一部でポイント付与されるサービスもあります。便利で安全に使えて、お得にお買い物ができる一石三鳥です。)