闇サイトから情報流出！？QRコード決済「PayPay」でカードの不正利用が続出

日本人のカード情報も流通する闇サイト「ダークウェブ」とは？

匿名性の高い闇サイト群「ダークウェブ」は、発信元の特定が困難な違法サイトの総称で、特殊なソフトがないと閲覧できない。ダークウェブ上には、違法薬物・銃器の取引やマネーロンダリング、クレジットカード番号やセキュリティコードなどの情報を売買する闇市場が複数存在する。セキュリティの専門家によると、カード情報は1件あたり数ドルで売買され、とくに与信力が高いとされる日本人のカード情報は1件あたり10ドル超、有効期限が長いと100ドルほどで売買されることもあるという。

ダークウェブに流通するカード情報は、今回のPayPayの不正利用にも使われた可能性が高く、警視庁では今後さらに調査を進めるとしている。しかし、ダークウェブ上で行われるカード情報の売買は、それぞれの身元を特定するのが難しく、過去に摘発されたケースもほとんどないことから、実態の解明は難航するとみられている。

セキュリティ対策の甘さが露呈したPayPayの登録システム

さらに今回の不正利用には、アプリにクレジットカード情報を登録する際の仕組みも悪用されており、PayPay側のセキュリティ対策の甘さも浮き彫りとなった。

登録サイトへのログインやネット上のクレジットカード決済システムは、パスワードや3桁のセキュリティコードを何度も間違えて入力すると、ロックがかかる仕組みになっている場合が多い。しかし、当初のPayPayのアプリでは、間違ったセキュリティコードを複数回入力してもロックがかからず、何度も繰り返して入力できる仕組みになっていたのだ。こうした登録システムの隙をついて、数字の組み合わせを手当たり次第に試し、正しいコードを探り当てる「総当たり攻撃」が行われたとみられている。

すでに同社ではコードの入力回数に上限を設け、登録時にカード会社に登録したパスワード入力を求める「3Dセキュア」を追加導入するなど、不正利用防止の改善策を実施している。さらに、クレジットカードの不正利用があった場合、カード会社から顧客への請求停止や返金の措置を行い、PayPay社がカード会社に返金額の全額を補償すると発表。カードを所有する一般消費者に対しても、身に覚えのないPayPayでのクレジットカード利用があった場合は、すみやかにカード会社に連絡するよう呼びかけている。

次世代セキュリティ対策についても官民一体で推進を

日本クレジット協会によると、クレジットカードの不正利用被害額は、2000年の308億円をピークに減少が続いていたが、2012年の68億円から増加に転じて年々拡大し、2017年には236億円にのぼったという。近年の被害額の拡大について、同協会では「ネット上でのカード決済が広まり、カード本体を偽造しなくても不正利用が可能になったため」と分析している。