No！SoftBank

PayPayの購入額の20%分、100億円分ポイント還元キャンペーンが開始したのが12月4日。
当初、サービス発表会で公開した利用可能予定店舗にあったビックカメラがPayPayサイトの利用可能店舗から消えていたため「キャンペーン中にビックカメラでは使えない？」との憶測もあったのですが、結局開始直前にビックカメラが利用可能店舗に記載されました。
で、この時同時にサイトに掲載された謎の注意事項が。

それが「3万円以上の支払いをする場合は、身分証明書を提示しろ」です。

3万円以上のお支払いをする場合の注意点 – PayPayからのお知らせ
https://www.paypay-corp.co.jp/notice/20181203/01/


手軽にお金を払える手段のはずなのに、何でわざわざ免許や保険証・パスポートなどの本人確認書類出すとかクソめんどくさいステップ踏まないといけないんだよｗ クソ決済やんけｗ と、俺は当然ながらバカにしたわけですが・・・今思えばこれが全ての始まりであり、諸問題を予告していたのかもしれません。
ってか、絶対そうだろ。問題点絶対認識してただろ。


12月11日頃から、「クレジットカードを不正利用された、PayPayで高額利用された」という声が上がり始めます。

クレカの利用可能枠が30万ほど減ってるんだが、これは間違いなく不正利用ですね😡急に30万とか使ってねーから！！！
窓口に連絡したいのに営業時間外😡

— くれもーな (@CRMsrv) December 10, 2018

窓口に問い合わせたら、どうやらpaypayで3件ほど高額利用されてるよう😡paypayなんて使ってないし！そんな高額なものこの祭の時期に買わないし！誰や不正利用したやつ😡
カード停止してもらったけど、この祭の時期にカードないの不安…

— くれもーな (@CRMsrv) December 11, 2018

しかも、PayPayに登録もしてないのに被害に遭っているとのこと。
この後、PayPayにてクレジットカードが不正利用されたという声が急増します。

PayPayクレカ不正利用多発に「原因は登録認証のザルさでは」と疑う人々…公式が対応に関するお知らせをするも「身内を疑えというのか」と非難殺到 - Togetter
https://togetter.com/li/1298232


ここに被害を訴える声がまとめられています。
で、その中にこんな気になるツイートが。

paypay経由でクレカ不正利用された
カスタマーセンターから不審な利用があったと連絡をもらって発覚して利用額約40ﾏｿ

海外サイトで利用トライ→セキュリティコード違いで使えないがカード番号の存在を確認→paypayの決済にカード番号を使用
こんな流れのよう

— zaorinne (@zaorinne) December 12, 2018

これを見て、PayPayの仕様について疑問を持ちます。
「もしかしたらこれ、クレジットカードの情報入力に上限無かったりする？」と。

疑問に思ったら試すしかない。それがソフトバンク・ヤフーとかいうゴミに情報を渡す事になるとしても。死ぬほど嫌だけど。
仕方ないけど、PayPayに実際に電話番号使って登録して、クレジットカードの情報を何度も間違えて入力したらどうなるかを確認しました。

すると。

paypay、有効期限とセキュリティコードを何度も数字変えて間違ってもロックなんて掛からんな。「クレジットカードの登録に失敗しました」がその度に出るだけ。これ総当たりで登録したので確定でいいと思う。

paypayで不正利用された皆さん！ 原因はpaypayのガバガバセキュリティのせいです！

— のーそふとばんく（ソフトバンクアンチ猫） (@no_softbank) December 14, 2018

クレジットカード登録時に求められる情報はクレジットカード番号・有効期限・セキュリティコードの3つのみで名義入力も必要無い上に、それらの情報を何度間違えてもロックなど掛からないので無限に試す事が出来ます。
もちろん、その後正しい情報を入力すれば登録
出来ます。

これはハッキリ言って異常です。普通は名義入力まで求められる事が多い上に、3～5回入力を間違えると一定時間クレジットカード登録を受け付けないようになる仕様になっているものです。
例えば競合のLINE Payでは、クレジットカード登録時にはクレジットカード番号・有効期限・セキュリティコード・名義が必要な上に、入力を5回間違えると一定時間ロックが掛かります（ロック後は登録しようとすると「登録出来ない」とメッセージが出る）。これが普通です。

つまり、クレジットカード番号さえわかれば、後は有効期限（西暦下2桁と01～12の2桁）とセキュリティコード（3桁）しか無いので、簡単に総当たり出来るレベルなんですよね。
有効期限は5年分としても60通り、セキュリティコードは1000通り、つまり6万通りしかありませんからね。
入力を自動化出来れば楽勝です。

しかも、さらにPayPayの仕様として、同じクレジットカードが複数アカウントで登録出来てしまうため（これ自体は悪い事ではないが）、アカウントを複数用意して人海戦術で総当たりする事も可能です。
アカウント登録には電話番号（SMS受信）が必要ですが、これはMVNOのSMSありデータ専用SIMを購入すればいくらでも入手可能ですし、このSIMの入手には身分証明書の提示は不要。
アカウントを用意するのもハードルは低いです。

クレジットカードの情報に関しては漏洩・流出したものも使われていると思いますが、それ以外にも「クレジットマスター」という手法で割り出している可能性もあります。
クレジットマスターとは、カード会社に割り当てられている一部の番号を割り出して残りの番号の法則性を見つけ、有効なクレジットカード番号を入手する手法です。
つまり漏洩・流出が無くとも不正利用に使われる、といった事が起こりうるわけです。
しかし、これはカード情報を一定回数間違えるとロックが掛かるようにすれば利用は防げます。
逆に言えば、PayPayのようなザル環境があればカードを利用出来てしまうというわけです。

さらに、不正利用対策として「3Dセキュア」という、カード情報以外にパスワードを設定して2段階認証にする仕組みも存在するのですが、当然ながらPayPayでは導入されていません。

個人情報の入力も必要無く、総当たりチェックツールが付いたリアル店舗決済システム。
もっとわかりやすく言えば「誰でも使えるクレジットカード複製システム」という事。
犯罪者にとっては夢のような環境です。
このザル仕様に気付いた俺、さすがですね。


また、「3万円以上の支払いをする場合は、身分証明書を提示しろ」というルールが設定されていましたが、そもそもこれって意味無いですよね。
身分証明書を提示したところで、それを何に使うの？って話です。
だって、PayPay登録時に個人情報なんて求められてないですし、カードの名義すら登録してないんですから身分の確認なんか取りようがないんですよ。
当然ながら身分証明書のコピーを取るわけにもいきませんし、店舗側もこの謎ルールには困惑していたと思います。

また、「転売目的の外国人を排除する」という目的だったとしたら、それはもっとマズいです。
「外国人だから売りません」は普通に人種差別案件ですからね・・・国際問題に発展してもおかしくないです。
特にこれが中国人だったとしたら、中国版ツイッターと呼ばれる微博（ウェイボー）で拡散されたら終わりです。
PayPayと提携しているアリババへのバッシングまで起きて超爆炎上すること間違いなしです。
・・・微博でデマ流したら燃えねぇかな？ｗ　やらねぇけども。


こんな感じで、ガバガバの仕様でクレカ不正利用の温床となっていたPayPay。
しかもビックカメラなどの家電量販店で利用可能だった事から、高額で換金性の高い商品を決済したその場で受け取れる、つまり手早く安全に不正利用出来るという犯罪者にとっては本当にパラダイスのようなサービスが完成していたのです。
さらに不幸な事に、PayPayのキャンペーンのおかげで正常な高額決済がガンガン発生していたために、カード会社が不正利用を把握しづらい状況になっていて発覚が遅れた、という点も踏まえておかなくてはいけません。

つまり、PayPayのクソ仕様として、

・電話番号だけでアカウント登録出来る
・カード情報は無限に入力出来る
・カード情報はカード番号、有効期限、セキュリティコードのみ。名義入力不要
・意味の無い身分証明書提示

さらに

・大々的な還元キャンペーンで注目される
・家電量販店で使えた
・正常な高額決済も多くあったため発覚が遅れた

という点の複合技によりこんな事態に発展したというわけですね。


この不正利用の報告ツイートが増えてきたことにより、さすがにPayPayもお知らせとヘルプページを掲載。

身に覚えのないクレジットカードの請求がきたら – PayPayからのお知らせ
https://www.paypay-corp.co.jp/notice/20181214/01/


クレジットカードに利用した覚えのないPayPayからの請求がきた
https://support.paypay.ne.jp/consumer/s/article/10003


このお知らせを掲載したことを受け、大手新聞社・テレビ局もこの不正利用について大々的に取り上げ始めました。
今回の件をニュースで見て知ったという人も多いのではないでしょうか。
先日のソフトバンクの通信障害も含め、ソフトバンクネタでここまでテレビで取り上げるのは本当に珍しいと思います。

ニュースではPayPayの広報が「お客様がカード入力間違えまくっても困らないように、入力回数に制限は加えてなかった」などとほざいていて、また炎上していましたね。

日テレNEWS ZERO
PayPayでクレカの登録で総当たりできてしまう問題について、広報にインタビューしていたんだけど、唖然とした。

「お客様が入力間違いをした時に困らないように総当たりを許容している」

もうヤフーとソフトバンクのサービスは使ってはいけない。 pic.twitter.com/LqarNAlhnB

— あかんやつマン🥦 (@kabuakan) December 17, 2018

これでとうとうPayPay＝不正利用というイメージが定着してしまいました。
還元キャンペーンでポジティブなイメージを植え付けるつもりだったんでしょうけどねぇ。
まあそもそも、この還元キャンペーンも不具合多発・転売ヤー殺到・キャンペーン終了のお知らせが終了の2時間前に来るなどでネガティブイメージを増幅させてた気がしますが。


で、ニュースで大々的に取り上げられて批判が殺到した事で、ようやく12月17日にある仕様が変更になります。

何かpaypayのアップデート来てたので、もう1度クレカ登録のミスを繰り返してみた。10回間違えてから正しい番号入れてみたところ、登録出来なかったんだが…
正しい番号を入れた時でも、エラー時の表示は変わらず「クレジットカードの登録に失敗しました」なんだけど。何これ？ https://t.co/E7XTZM2poT

— のーそふとばんく（ソフトバンクアンチ猫） (@no_softbank) December 17, 2018

PayPayアプリのアップデートが来てたので、（アプリのアップデート前に）改めてクレカ登録について確かめてみたところ、10回間違えた後に正しい番号を入れてみても登録出来なくなっていました。
登録で試したのはプリペイド式のバーチャルクレジットカードで、これ以前はちゃんと登録出来ていました。

で、調べてみるとアプリのアップデートを配信したタイミングで入力回数の制限を設けたとのこと。

PayPay、『クレカ不正利用』で対策　セキュリティーコード入力に上限 - Engadget 日本版
https://japanese.engadget.com/2018/12/17/paypay/


しかし、この時点でPayPayからの公式な告知はありません。
お前、「お客様が困らないように」って言ってた部分の仕様変更やろが。実施後即告知は当然やろがい！

で、結局翌日になってようやく告知。
と言ってもアプリのアップデートの告知のついでにちょびっと書いておいただけなんですが。

PayPayアプリ アップデートのお願い – PayPayからのお知らせ
https://www.paypay-corp.co.jp/notice/20181218/01/


ただ、この制限、明らかにやっつけ仕事で場当たり的対応なんですよね。
というのも、PayPayでは入力が間違っていた場合は「クレジットカードの登録に失敗しました」というメッセージが出るのですが、制限回数に達した後に正しい番号を入れた際も全く同じメッセージが出てくるんですね。
こんなん混乱の元でしょ。お前、「お客様が困らないように」って言ってたやろが。これは困らんのかい！

普通は制限回数を超過した場合はその旨メッセージを出すものです。
前述した通り、LINE Payでは5回間違えた後に「これ以上クレジットカードの登録が出来ません」といったメッセージが出ます。
楽天Payも同様のようです。
まあ当然ですよね、それが普通ですから。

普通、アップデート時にこの辺のUI改修しますよねぇ…？と思うのですが、残念ながらPayPayは普通ではありません。
まあ当然ですよね、それがソフトバンク・ヤフーですから。



で、なぜPayPayは最後発なのにこんなにもガバガバで不備だらけのクソ仕様でリリースされたのか？
それはこのヤフーの執行役員・小澤隆生の発言に答えがあります。

PayPay、100億円祭りは「孫さんを中心に決めた」──ヤフー執行役員が明かす - Engadget 日本版
https://japanese.engadget.com/2018/12/14/paypay-100/


で、出たー！　孫正義！

日本国民に損をさせるのはお手の物、日本が恥ずべきゴミクズ以下の汚染物質、孫正義のせいです！

いろいろガバガバな実装のままサービスをリリースしたのは、どう考えても孫正義が「そのままでいいから出せ！　早く出せ！」と恫喝したからです。
ガイアの夜明けでpepperの特集をやっていた時もそんなんでしたし、以前、カンブリア宮殿でやっていましたが、携帯電話のJavaScriptまわりの実装について「エラー時にエラーメッセージを出すな」などとほざいていて、その通りに実装させたことがありましたし。無茶苦茶ですよ。

うははははｗド素人の口出しほど邪魔な物は無いのにね。RT @_utchy_: 以前テレ東カンブリア宮殿で孫社長がガラケのJavaScript警告画面に「こんな邪魔なアラート消せ」と切れてたが、同じような理由で地震速報も企画段階で潰したんだろうなぁ…

— のーそふとばんく（ソフトバンクアンチ猫） (@no_softbank) 2011年4月7日

他にもログイン周りのセキュリティを緩める実装のせいで、iTunesコードをキャリア決済の限度額いっぱいまで不正購入される事件もありましたしね。

My SoftBankで不正ログイン、糞仕様のせいでユーザーがiTunesコード不正購入の被害に遭う事案が発生 - No！SoftBank
http://nosoftbankno.blog84.fc2.com/blog-entry-361.html


内容としては今回の件とかなり近いと思います。これが4年前ですからねぇ・・・
とにかくセキュリティや不正登録の対策は無視で、とにかく簡易に簡易に持っていこうとするのが孫正義です。
これも他に事例があったはずです。


また、明らかにPayPalと誤認させる目的の悪質極まりないネーミングも孫正義のセンスでしょう。
以前、エイベックスと組んで開始したものの途中で反故にしてエイベックスを激怒させたことで有名なクソサービスの「UURA」では、エイベックスの松浦社長の名前を取ってサービス名を決めるという頭のおかしな事をしていましたし。

ソフトバンク・孫正義代表とエイベックス・松浦勝人社長、浜崎あゆみのソフトバンクCM出演を語る | BARKS
https://www.barks.jp/news/?id=1000083768


他にも孫正義が決めたというクソみたいなネーミングがあったはず。明らかに孫正義のセンスですよこれ。
こういうバクリやフリーライディングを平然と行い、GOサインを出すのが孫正義でありソフトバンク・ヤフーです。


で、12月19日にソフトバンクの通信部門を分離した新会社・ソフトバンク株式会社の上場記者会見で、社長の宮内謙がPayPayの件に言及しましたが、まあこれもギャグみたいな話で。

PayPayでおわびも「認知度No.1」に自信、ソフトバンク上場会見 - Engadget 日本版
https://japanese.engadget.com/2018/12/19/paypay-no-1/

宮内社長はPayPayを紹介する冒頭で、「ご迷惑をおかけしたことをおわび申し上げます」と陳謝しました。そして、「昨日、ぜんぶ改良しました」とサービス改修が完了したことを報告しました。

キャンペーンのポジティブな効果として「PayPayの名称認知度、サービス内容の理解、利用意向の3項目において、QRコード決済でナンバー1になった」と自信を見せました。

ちょっと何言ってるかわからないですねぇ。
この自称ポジティブな効果はそのまま不正利用騒ぎでネガティブに振れてしまってますからねｗ

そして、「昨日全部改良しました」という全くもって意味不明な発言。
えーっと、クレカ情報の入力回数を制限しただけで「全部」なんですかね？ｗ
他にもやる事山ほどあるでしょ。

そしてそれを裏付けるように、12月21日、唐突にクレジットカード利用の上限額を設けるというギャグみたいな制限を課しました。

「PayPay」クレカ利用時の上限額が5万円に、不正対策の一貫で - ケータイ Watch
https://k-tai.watch.impress.co.jp/docs/news/1159796.html


しかもこれ、最初に通知したのがPayPay加盟店宛てのメールで、その時点でPayPayのサイトやツイッターアカウントにお知らせは掲載されていないという体たらく（結局掲載されたのは夕方）。
さらに、最初にこの制限が発覚したのが「決済が通らないから問い合わせた」というツイートという。
完全に気分で運営してて、ユーザーに多大な迷惑を掛けてますよね。全部改良したんちゃうんかい！

#creita PayPayのオーソリが通らない…と思ったら決済元カードに電文すら来てない。
問い合わせたところ、今日から気分で30日間クレジット決済上限を作ったそうです。5万円ですって…。

ちなみにYahooカードでのチャージは別枠で、これも30日で5万円とのこと。気づいてこれも聞いといて良かった…。

— 猫頭 (@nekogashira) December 21, 2018

というか、そもそもキャッシュレス決済で30日5万円制限設けるって、利便性を完全にブチ壊していってて笑うしかありません。
しかもこの制限、単純に「自分達が高額な不正利用の被害に遭いたくないから不便をユーザーに全部押し付けよう」っていう100%自分勝手な理由ですよね。
一応これ暫定措置らしいんですが、宮内が2日前に「全部改良した」って言ってませんでしたかねぇ？？？

ちなみに、こんなアホな規制を入れた理由は入力回数制限後も不正利用で高額決済されているからなんですが、これだと結局5万円までは不正利用出来ますしねぇｗ
ニンテンドースイッチとか全然買えますからね。

本当にちゃんと対策するのなら、ちゃんと事前に予告した上でクレジットカードの登録・利用を完全に停止し、その上でシステム改修を行うのが筋です。
予告しない・告知しない・中途半端な制限・不正利用は止まらない・ただ単に不便になるだけ、という最低最悪な運営。
これがソフトバンク・ヤフーです。早く倒産しろゴミクズ。

--

という事で、存在するだけで全員に迷惑を掛けるというとんでもないサービスを平然と展開し続けるソフトバンク・ヤフー。
カード会社も今回の件で不正利用食らいまくってる上に問い合わせも殺到して、ブチ切れてるでしょうね。

そして、こんな状況でもまだCMをガンガン放映するPayPay。当然謝罪などCMには含まれていません。
恐らく、大量に広告費をマスコミに支払ってネガティブ報道を抑え込んでいるところなのでしょう。うんこですわ。


こんな犯罪を助長するゴミ決済は絶対潰さなければなりません。
登録してしまった人は、さっさとアカウントを削除しまし・・・


あー！！！

アカウント削除出来ないんだったー！！！！！


PayPayは登録したが最後、アカウントが削除出来ないんだった！ 死ね！！
アカウントが削除出来ないので、電話番号をソフトバンク・ヤフーに永遠に握られるというゴミクソ仕様。
こんな状態でリリース許しちゃいけないでしょ。金融庁何してんの？

俺のアカウント、削除出来るようになる日は来るんでしょうかねぇ・・・？
マジでソフトバンクとヤフーの社員全員爆死してくんねぇかな、アパマンショップみたいな感じでドカーンと。

ホント、何もかもガバガバですね。
絶対また大きな問題起こして社会問題になりますよ。断言しておきます。
今後ソフトバンクモバイル・ワイモバイルユーザーに強制的に登録させるみたいですしね（長期利用特典の受け取り用に登録させるようです）。

早くサービス終了させないといけませんね。


次の記事ではチャージ分が反映されず消失した件について書いています。
こちらもよろしくね！

PayPay、キャンペーン時のシステム障害でチャージが反映されず消失、問い合わせても解決せず。これでもまだ使う？ - No！SoftBank
http://nosoftbankno.blog84.fc2.com/

関連記事

• PayPay、相変わらず障害発生させる脆弱っぷり (2019/08/30)
• ソフトバンク・ヤフーのPayPay、ザル仕様によりクレカ不正利用の温床になり早速詰む (2018/12/22)
• PayPay、案の定ポイント付与誤BAN祭り開催。正常利用でも取り消し食らうゴミ決済 (2019/01/12)
• PayPay、不正アクセスを「アクセス履歴」と言い換えて全力隠蔽お知らせ。これが隠蔽企業ソフトバンク (2020/12/13)
• PayPay、キャンペーン時のシステム障害でチャージが反映されず消失、問い合わせても解決せず。これでもまだ使う？ (2018/12/25)