コード決済の新サービスで、20%還元で大きな話題になったPayPayは、不正利用問題について報告。来年1月からのクレジットカード登録時のセキュリティー強化を約束した。
セキュリティーコードの入力回数制限無しは主原因にあらず
流出したカード情報の利用の可能性大
不正利用の報道で当初問題視されたのは、クレジットカード登録時にセキュリティーコード(一般にカードの裏側に記載されている3桁または4桁の数字)を回数制限なく入力できる点。12月18日のアプリ強制更新時に入力回数を制限する使用に変更している。
PayPayによると、セキュリティーコードを20回以上入力してカードを登録した例は13件で、実際に利用があったのは9件。しかし、この9件はすべて本人による利用を確認済みとする。
このことはセキュリティーコードの回数制限が無かった点は不正利用の主要因ではなく、そもそもセキュリティーコードを含む、カード情報が何らかの方法で入手され、それがPayPayに登録された可能性が高いと判断。その場合、上記の入力回数の制限追加は根本的な対策にはならないため、新たなセキュリティー強化の仕組みを導入することとなった。
具体的には、クレジットカード登録時に「3Dセキュア」に対応する予定。これはクレジットカード番号、セキュリティーコードに加えて、カード発行会社に登録するパスワード(MyJCB、VISA認証サービス、Mastercard SecureCodeなど。あらかじめ登録したパスワードのほかに、SMS認証やスマホアプリでワンタイムパスワードが可能な例も)の3つの要素を組み合わせるもので、ECサイトなどで体験したことがある人も多いだろう。
なお、PayPayではカード会社との連携を進め、ユーザーの申告によりカード会社での不正利用の疑いが確認された場合は、返金額を同社が補償することを約束している。