スポンサーサイト  このエントリーをはてなブックマークに追加

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

ソフトバンク・ヤフーのPayPay、ザル仕様によりクレカ不正利用の温床になり早速詰む  このエントリーをはてなブックマークに追加

中国ではバーコード(QRコード)を利用したオンラインキャッシュレス決済が普及している──という話から始まり、これをマネするような形で日本でも普及しだしたバーコード決済。

そもそも中国では「偽札が横行している」という事情から、「現金より信頼出来る」「ユーザーに信用スコアを付ける事により取りっぱぐれが無くなる」とかそんなネガティブ事案を解決するソリューションとして普及しているわけですが、日本の場合は紙幣の偽造が異様に難しいため現金の信頼度が世界でもトップクラスという点や、FeliCaを使った非接触IC決済が10年以上前から普及しておりiPhoneも7以降の機種で対応しているという点、さらには災害を鑑みると、バーコード決済導入する意味ある?って感じなんですけど。
まあ恐らくは消費税増税に伴う還元策としてポイント還元が検討されていますが、その辺の流れに乗るためにバーコード決済参入しとこか、みたいな事なのかなと思いますが。知らんけど。

という事で、我先にとシェアを取るために雨後の筍のごとくポコポコとサービスが立ち上がり、バーコード決済は乱立状態。
気付けば大手だけでも10個ぐらいあるようなのですが、その中に良く見るとタケノコではなく毒キノコが・・・
そう、その毒キノコとは、皆さんご存知ゴミクズ企業であるソフトバンクとヤフーの合弁によるバーコード決済「PayPay(ペイペイ)」です。

明らかに「PayPal(ペイパル)」と誤認させるのを狙ったクソみたいなネーミング(恐らく以前PayPalと組んで「PayPal Here」を日本で開始したものの大爆死した件を根に持ってて報復したんだと思う)を見た時点でヤバさ満開なこの決済サービス。
後発という事でシェア奪取と認知度アップを狙った、購入額の20%を翌月ポイントバックする上限100億円分のキャンペーンを打つも、家電量販店でも利用出来たためにほぼ転売ヤーの餌食になっただけで開始から10日で100億円分が尽きて一般層にまるで浸透しないまま終わった上に、キャンペーン中にサービスが不安定になる場面が多々あったり、さらにソフトバンクが史上最大規模の通信障害を起こしたり(直接は関係無いけど)、さらには100億円分還元キャンペーンの終了告知が終了2時間前に行われ利用者が呆れるなど、PayPayにネガティブなイメージが付いて回っていたところでさらなる燃料がブチ込まれました。

何とPayPayに他人のクレジットカードを不正に登録し、高額決済に使うという犯罪事案が発生したのです。
しかもこれがPayPayのガバガバなセキュリティのせいで易々と行われていた事が発覚。
ニュースでも大々的に取り上げられる事態となりました。
・・・こんだけ問題視されるようになったの、俺のおかげなんですけどね(自画自賛)。

という事で、俺が発見したPayPayのクソ仕様などを含め、解説していきたいと思います。
--

スポンサードリンク


--
PayPayの購入額の20%分、100億円分ポイント還元キャンペーンが開始したのが12月4日。
当初、サービス発表会で公開した利用可能予定店舗にあったビックカメラがPayPayサイトの利用可能店舗から消えていたため「キャンペーン中にビックカメラでは使えない?」との憶測もあったのですが、結局開始直前にビックカメラが利用可能店舗に記載されました。
で、この時同時にサイトに掲載された謎の注意事項が。

それが「3万円以上の支払いをする場合は、身分証明書を提示しろ」です。

3万円以上のお支払いをする場合の注意点 – PayPayからのお知らせ
https://www.paypay-corp.co.jp/notice/20181203/01/


手軽にお金を払える手段のはずなのに、何でわざわざ免許や保険証・パスポートなどの本人確認書類出すとかクソめんどくさいステップ踏まないといけないんだよw クソ決済やんけw と、俺は当然ながらバカにしたわけですが・・・今思えばこれが全ての始まりであり、諸問題を予告していたのかもしれません。
ってか、絶対そうだろ。問題点絶対認識してただろ。


12月11日頃から、「クレジットカードを不正利用された、PayPayで高額利用された」という声が上がり始めます。

しかも、PayPayに登録もしてないのに被害に遭っているとのこと。
この後、PayPayにてクレジットカードが不正利用されたという声が急増します。

PayPayクレカ不正利用多発に「原因は登録認証のザルさでは」と疑う人々…公式が対応に関するお知らせをするも「身内を疑えというのか」と非難殺到 - Togetter
https://togetter.com/li/1298232


ここに被害を訴える声がまとめられています。
で、その中にこんな気になるツイートが。

これを見て、PayPayの仕様について疑問を持ちます。
「もしかしたらこれ、クレジットカードの情報入力に上限無かったりする?」と。

疑問に思ったら試すしかない。それがソフトバンク・ヤフーとかいうゴミに情報を渡す事になるとしても。死ぬほど嫌だけど。
仕方ないけど、PayPayに実際に電話番号使って登録して、クレジットカードの情報を何度も間違えて入力したらどうなるかを確認しました。

すると。

クレジットカード登録時に求められる情報はクレジットカード番号・有効期限・セキュリティコードの3つのみで名義入力も必要無い上に、それらの情報を何度間違えてもロックなど掛からないので無限に試す事が出来ます。
もちろん、その後正しい情報を入力すれば登録
出来ます。

これはハッキリ言って異常です。普通は名義入力まで求められる事が多い上に、3~5回入力を間違えると一定時間クレジットカード登録を受け付けないようになる仕様になっているものです。
例えば競合のLINE Payでは、クレジットカード登録時にはクレジットカード番号・有効期限・セキュリティコード・名義が必要な上に、入力を5回間違えると一定時間ロックが掛かります(ロック後は登録しようとすると「登録出来ない」とメッセージが出る)。これが普通です。

つまり、クレジットカード番号さえわかれば、後は有効期限(西暦下2桁と01~12の2桁)とセキュリティコード(3桁)しか無いので、簡単に総当たり出来るレベルなんですよね。
有効期限は5年分としても60通り、セキュリティコードは1000通り、つまり6万通りしかありませんからね。
入力を自動化出来れば楽勝です。

しかも、さらにPayPayの仕様として、同じクレジットカードが複数アカウントで登録出来てしまうため(これ自体は悪い事ではないが)、アカウントを複数用意して人海戦術で総当たりする事も可能です。
アカウント登録には電話番号(SMS受信)が必要ですが、これはMVNOのSMSありデータ専用SIMを購入すればいくらでも入手可能ですし、このSIMの入手には身分証明書の提示は不要。
アカウントを用意するのもハードルは低いです。

クレジットカードの情報に関しては漏洩・流出したものも使われていると思いますが、それ以外にも「クレジットマスター」という手法で割り出している可能性もあります。
クレジットマスターとは、カード会社に割り当てられている一部の番号を割り出して残りの番号の法則性を見つけ、有効なクレジットカード番号を入手する手法です。
つまり漏洩・流出が無くとも不正利用に使われる、といった事が起こりうるわけです。
しかし、これはカード情報を一定回数間違えるとロックが掛かるようにすれば利用は防げます。
逆に言えば、PayPayのようなザル環境があればカードを利用出来てしまうというわけです。

さらに、不正利用対策として「3Dセキュア」という、カード情報以外にパスワードを設定して2段階認証にする仕組みも存在するのですが、当然ながらPayPayでは導入されていません。

個人情報の入力も必要無く、総当たりチェックツールが付いたリアル店舗決済システム。
もっとわかりやすく言えば「誰でも使えるクレジットカード複製システム」という事。
犯罪者にとっては夢のような環境です。
このザル仕様に気付いた俺、さすがですね。


また、「3万円以上の支払いをする場合は、身分証明書を提示しろ」というルールが設定されていましたが、そもそもこれって意味無いですよね。
身分証明書を提示したところで、それを何に使うの?って話です。
だって、PayPay登録時に個人情報なんて求められてないですし、カードの名義すら登録してないんですから身分の確認なんか取りようがないんですよ。
当然ながら身分証明書のコピーを取るわけにもいきませんし、店舗側もこの謎ルールには困惑していたと思います。

また、「転売目的の外国人を排除する」という目的だったとしたら、それはもっとマズいです。
「外国人だから売りません」は普通に人種差別案件ですからね・・・国際問題に発展してもおかしくないです。
特にこれが中国人だったとしたら、中国版ツイッターと呼ばれる微博(ウェイボー)で拡散されたら終わりです。
PayPayと提携しているアリババへのバッシングまで起きて超爆炎上すること間違いなしです。
・・・微博でデマ流したら燃えねぇかな?w やらねぇけども。


こんな感じで、ガバガバの仕様でクレカ不正利用の温床となっていたPayPay。
しかもビックカメラなどの家電量販店で利用可能だった事から、高額で換金性の高い商品を決済したその場で受け取れる、つまり手早く安全に不正利用出来るという犯罪者にとっては本当にパラダイスのようなサービスが完成していたのです。
さらに不幸な事に、PayPayのキャンペーンのおかげで正常な高額決済がガンガン発生していたために、カード会社が不正利用を把握しづらい状況になっていて発覚が遅れた、という点も踏まえておかなくてはいけません。

つまり、PayPayのクソ仕様として、

・電話番号だけでアカウント登録出来る
・カード情報は無限に入力出来る
・カード情報はカード番号、有効期限、セキュリティコードのみ。名義入力不要
・意味の無い身分証明書提示



さらに

・大々的な還元キャンペーンで注目される
・家電量販店で使えた
・正常な高額決済も多くあったため発覚が遅れた



という点の複合技によりこんな事態に発展したというわけですね。


この不正利用の報告ツイートが増えてきたことにより、さすがにPayPayもお知らせとヘルプページを掲載。

身に覚えのないクレジットカードの請求がきたら – PayPayからのお知らせ
https://www.paypay-corp.co.jp/notice/20181214/01/


クレジットカードに利用した覚えのないPayPayからの請求がきた
https://support.paypay.ne.jp/consumer/s/article/10003


このお知らせを掲載したことを受け、大手新聞社・テレビ局もこの不正利用について大々的に取り上げ始めました。
今回の件をニュースで見て知ったという人も多いのではないでしょうか。
先日のソフトバンクの通信障害も含め、ソフトバンクネタでここまでテレビで取り上げるのは本当に珍しいと思います。

ニュースではPayPayの広報が「お客様がカード入力間違えまくっても困らないように、入力回数に制限は加えてなかった」などとほざいていて、また炎上していましたね。

これでとうとうPayPay=不正利用というイメージが定着してしまいました。
還元キャンペーンでポジティブなイメージを植え付けるつもりだったんでしょうけどねぇ。
まあそもそも、この還元キャンペーンも不具合多発・転売ヤー殺到・キャンペーン終了のお知らせが終了の2時間前に来るなどでネガティブイメージを増幅させてた気がしますが。


で、ニュースで大々的に取り上げられて批判が殺到した事で、ようやく12月17日にある仕様が変更になります。

PayPayアプリのアップデートが来てたので、(アプリのアップデート前に)改めてクレカ登録について確かめてみたところ、10回間違えた後に正しい番号を入れてみても登録出来なくなっていました。
登録で試したのはプリペイド式のバーチャルクレジットカードで、これ以前はちゃんと登録出来ていました。

で、調べてみるとアプリのアップデートを配信したタイミングで入力回数の制限を設けたとのこと。

PayPay、『クレカ不正利用』で対策 セキュリティーコード入力に上限 - Engadget 日本版
https://japanese.engadget.com/2018/12/17/paypay/


しかし、この時点でPayPayからの公式な告知はありません。
お前、「お客様が困らないように」って言ってた部分の仕様変更やろが。実施後即告知は当然やろがい!

で、結局翌日になってようやく告知。
と言ってもアプリのアップデートの告知のついでにちょびっと書いておいただけなんですが。

PayPayアプリ アップデートのお願い – PayPayからのお知らせ
https://www.paypay-corp.co.jp/notice/20181218/01/


ただ、この制限、明らかにやっつけ仕事で場当たり的対応なんですよね。
というのも、PayPayでは入力が間違っていた場合は「クレジットカードの登録に失敗しました」というメッセージが出るのですが、制限回数に達した後に正しい番号を入れた際も全く同じメッセージが出てくるんですね。
こんなん混乱の元でしょ。お前、「お客様が困らないように」って言ってたやろが。これは困らんのかい!

普通は制限回数を超過した場合はその旨メッセージを出すものです。
前述した通り、LINE Payでは5回間違えた後に「これ以上クレジットカードの登録が出来ません」といったメッセージが出ます。
楽天Payも同様のようです。
まあ当然ですよね、それが普通ですから。

普通、アップデート時にこの辺のUI改修しますよねぇ…?と思うのですが、残念ながらPayPayは普通ではありません。
まあ当然ですよね、それがソフトバンク・ヤフーですから。



で、なぜPayPayは最後発なのにこんなにもガバガバで不備だらけのクソ仕様でリリースされたのか?
それはこのヤフーの執行役員・小澤隆生の発言に答えがあります。

PayPay、100億円祭りは「孫さんを中心に決めた」──ヤフー執行役員が明かす - Engadget 日本版
https://japanese.engadget.com/2018/12/14/paypay-100/


で、出たー! 孫正義!

日本国民に損をさせるのはお手の物、日本が恥ずべきゴミクズ以下の汚染物質、孫正義のせいです!

いろいろガバガバな実装のままサービスをリリースしたのは、どう考えても孫正義が「そのままでいいから出せ! 早く出せ!」と恫喝したからです。
ガイアの夜明けでpepperの特集をやっていた時もそんなんでしたし、以前、カンブリア宮殿でやっていましたが、携帯電話のJavaScriptまわりの実装について「エラー時にエラーメッセージを出すな」などとほざいていて、その通りに実装させたことがありましたし。無茶苦茶ですよ。

他にもログイン周りのセキュリティを緩める実装のせいで、iTunesコードをキャリア決済の限度額いっぱいまで不正購入される事件もありましたしね。

My SoftBankで不正ログイン、糞仕様のせいでユーザーがiTunesコード不正購入の被害に遭う事案が発生 - No!SoftBank
http://nosoftbankno.blog84.fc2.com/blog-entry-361.html


内容としては今回の件とかなり近いと思います。これが4年前ですからねぇ・・・
とにかくセキュリティや不正登録の対策は無視で、とにかく簡易に簡易に持っていこうとするのが孫正義です。
これも他に事例があったはずです。


また、明らかにPayPalと誤認させる目的の悪質極まりないネーミングも孫正義のセンスでしょう。
以前、エイベックスと組んで開始したものの途中で反故にしてエイベックスを激怒させたことで有名なクソサービスの「UURA」では、エイベックスの松浦社長の名前を取ってサービス名を決めるという頭のおかしな事をしていましたし。

ソフトバンク・孫正義代表とエイベックス・松浦勝人社長、浜崎あゆみのソフトバンクCM出演を語る | BARKS
https://www.barks.jp/news/?id=1000083768


他にも孫正義が決めたというクソみたいなネーミングがあったはず。明らかに孫正義のセンスですよこれ。
こういうバクリやフリーライディングを平然と行い、GOサインを出すのが孫正義でありソフトバンク・ヤフーです。


で、12月19日にソフトバンクの通信部門を分離した新会社・ソフトバンク株式会社の上場記者会見で、社長の宮内謙がPayPayの件に言及しましたが、まあこれもギャグみたいな話で。

PayPayでおわびも「認知度No.1」に自信、ソフトバンク上場会見 - Engadget 日本版
https://japanese.engadget.com/2018/12/19/paypay-no-1/

宮内社長はPayPayを紹介する冒頭で、「ご迷惑をおかけしたことをおわび申し上げます」と陳謝しました。そして、「昨日、ぜんぶ改良しました」とサービス改修が完了したことを報告しました。

キャンペーンのポジティブな効果として「PayPayの名称認知度、サービス内容の理解、利用意向の3項目において、QRコード決済でナンバー1になった」と自信を見せました。


ちょっと何言ってるかわからないですねぇ。
この自称ポジティブな効果はそのまま不正利用騒ぎでネガティブに振れてしまってますからねw

そして、「昨日全部改良しました」という全くもって意味不明な発言。
えーっと、クレカ情報の入力回数を制限しただけで「全部」なんですかね?w
他にもやる事山ほどあるでしょ。

そしてそれを裏付けるように、12月21日、唐突にクレジットカード利用の上限額を設けるというギャグみたいな制限を課しました。

「PayPay」クレカ利用時の上限額が5万円に、不正対策の一貫で - ケータイ Watch
https://k-tai.watch.impress.co.jp/docs/news/1159796.html


しかもこれ、最初に通知したのがPayPay加盟店宛てのメールで、その時点でPayPayのサイトやツイッターアカウントにお知らせは掲載されていないという体たらく(結局掲載されたのは夕方)。
さらに、最初にこの制限が発覚したのが「決済が通らないから問い合わせた」というツイートという。
完全に気分で運営してて、ユーザーに多大な迷惑を掛けてますよね。全部改良したんちゃうんかい!

というか、そもそもキャッシュレス決済で30日5万円制限設けるって、利便性を完全にブチ壊していってて笑うしかありません。
しかもこの制限、単純に「自分達が高額な不正利用の被害に遭いたくないから不便をユーザーに全部押し付けよう」っていう100%自分勝手な理由ですよね。
一応これ暫定措置らしいんですが、宮内が2日前に「全部改良した」って言ってませんでしたかねぇ???

ちなみに、こんなアホな規制を入れた理由は入力回数制限後も不正利用で高額決済されているからなんですが、これだと結局5万円までは不正利用出来ますしねぇw
ニンテンドースイッチとか全然買えますからね。

本当にちゃんと対策するのなら、ちゃんと事前に予告した上でクレジットカードの登録・利用を完全に停止し、その上でシステム改修を行うのが筋です。
予告しない・告知しない・中途半端な制限・不正利用は止まらない・ただ単に不便になるだけ、という最低最悪な運営。
これがソフトバンク・ヤフーです。早く倒産しろゴミクズ。

--

という事で、存在するだけで全員に迷惑を掛けるというとんでもないサービスを平然と展開し続けるソフトバンク・ヤフー。
カード会社も今回の件で不正利用食らいまくってる上に問い合わせも殺到して、ブチ切れてるでしょうね。

そして、こんな状況でもまだCMをガンガン放映するPayPay。当然謝罪などCMには含まれていません。
恐らく、大量に広告費をマスコミに支払ってネガティブ報道を抑え込んでいるところなのでしょう。うんこですわ。


こんな犯罪を助長するゴミ決済は絶対潰さなければなりません。
登録してしまった人は、さっさとアカウントを削除しまし・・・


あー!!!

アカウント削除出来ないんだったー!!!!!


PayPayは登録したが最後、アカウントが削除出来ないんだった! 死ね!!
アカウントが削除出来ないので、電話番号をソフトバンク・ヤフーに永遠に握られるというゴミクソ仕様。
こんな状態でリリース許しちゃいけないでしょ。金融庁何してんの?

俺のアカウント、削除出来るようになる日は来るんでしょうかねぇ・・・?
マジでソフトバンクとヤフーの社員全員爆死してくんねぇかな、アパマンショップみたいな感じでドカーンと。

ホント、何もかもガバガバですね。
絶対また大きな問題起こして社会問題になりますよ。断言しておきます。
今後ソフトバンクモバイル・ワイモバイルユーザーに強制的に登録させるみたいですしね(長期利用特典の受け取り用に登録させるようです)。

早くサービス終了させないといけませんね。


次の記事ではチャージ分が反映されず消失した件について書いています。
こちらもよろしくね!

PayPay、キャンペーン時のシステム障害でチャージが反映されず消失、問い合わせても解決せず。これでもまだ使う? - No!SoftBank
http://nosoftbankno.blog84.fc2.com/
関連記事
スポンサードリンク  
 
このエントリーをはてなブックマークに追加  にほんブログ村 携帯ブログへ


Twitter
no_softbankをフォローしましょう
ふぉろみー。
最新記事
amazon
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。