年末までこんな記事を書いてなくても・・・と思わなくはないのですが、PayPayは多くのセキュリティ専門家の方が取り上げた”事件”だったので、その対応策について考えてみたいと思います。
www.itmedia.co.jp
■公式発表 3Dセキュア(本人認証サービス)の対応と、クレジットカード不正利用への補償について
■3Dセキュアの対応に関して
PayPayでは、クレジットカード不正利用の対策として、2019年1月に3Dセキュアに対応いたします。クレジットカードを登録いただいたお客様に3Dセキュアのパスワードを入力いただきます。決済のたびに入力いただく必要はございません。
PayPayでは、クレジットカード不正利用の対策の一つとして、12月18日にセキュリティコードを含むクレジットカード情報の入力回数に制限を設けました。
しかし、調査の結果、クレジットカード登録時にセキュリティコードを20回以上入力し登録に至った件数はPayPayのサービス開始以来13件であり、クレジットカード情報の入力回数に制限を設けるだけでは根本的な対策にはならないと判断しました。
PayPayにおける不正利用の主な要因は、悪意ある第三者が何らかの方法で、外部で入手したセキュリティコードを含むクレジットカード情報が利用されたことである可能性が高いため、このたび3Dセキュアの対応を決定いたしました。
また、上記13件のうち、PayPayでの利用があった9件について、カード会社と連携しご利用状況を確認したところ、全てご本人による登録と利用であったことが判明しています(2018年12月27日現在)。
■補償に関して
上記の13件(うち9件が本人利用を確認済み)以外にも、このたびの調査で判明したセキュリティコードを一定回数以上入力し登録に至ったクレジットカードのなかで、PayPayでの利用があったカードに関して、カード会社と連携を進めております。
これらのカードにおいて、カード会社で不正利用の疑いが確認された場合は、カード会社よりご連絡を差し上げ、請求停止や返金等の措置を行っていただくよう要請を行っております。なお、返金額については弊社が全額を補償いたします(※)。
また、お客さまの申告によりカード会社にて不正利用が認められた場合は、同様にカード会社より請求停止や返金等の措置を行い、弊社が返金額の全額を補償いたします。カード会社の会員サイト等でご利用明細をご確認いただき、身に覚えのないPayPayでのクレジットカード利用があった場合は速やかにカード会社にご連絡いただけますようお願いいたします(※)。
弊社は、クレジットカードの不正利用が発生したことを重く受け止め、上記を含めたさまざまな対策を講じ、安全・安心なサービスの運用に向けて全力で取り組んでいきます。
◆キタきつねの所感
事件を受けての対策の発表というのは、ある意味答え合わせの性質を持ちます。まず対策ですが、なるほど・・・3Dセキュア2.0を導入するようですね。リスクベース認証が付随するので、そちらを使って利便性低下を軽減する様です。この対策自体は妥当だと思います。
ただし、何故最初からこの対策を検討してなかったのか?が疑問です。新規で決済分野に入ってくるのであれば、株主であるソフトバンクやヤフーが決済分野で培った経験で、潜在リスクを潰すのが当たり前だと思います。大手2社が参加していて、何故こうしたセキュリティ体制で是としたのか、やはり脇が甘かったと思います。
少なくても競合他社と同等なセキュリティ対策がされてなければ、攻撃者はその隙をついてくるのが普通です。そうした意味では、PayPayは決済分野での『洗礼を受けた』と言っても過言ではありません。
さて、今回の答え合わせで気になったのが、意図的かどうかは分かりませんが、公表された数字です。
クレジットカード登録時にセキュリティコードを20回以上入力し登録に至った件数はPayPayのサービス開始以来13件
マネロン的な攻撃件数は少なかったですよ・・・と言いたいのだと思いますが、セキュリティコードの無限試行を残していた部分については、やはり言い訳の余地は無いと思います。
そしてここにも数字のマジックが隠れている気がします。一般的な試行回数3回を超えた、4回以上19回以下の試行で登録に至ったケースは公表されていません。
被害が13件だけであれば、極端な話、大きな対策を講じる必要性はあまりありません。むしろ被害を公表した際に、影響は軽微ですと言い切った方が良かったかも知れません。それが言い切れない、そして4回から19回が外されている・・・軽微な被害に見せかけたい、発表数字(スライスライン)の意図を感じてしまいます。
3Dセキュアの導入を急ぐのは事件対応としては当然ではありますが、PayPayの意図としては、この4回~19回が結構な件数存在している事を隠したかったのではないかと思えなくもありません。
上記の13件(うち9件が本人利用を確認済み)以外にも、このたびの調査で判明したセキュリティコードを一定回数以上入力し登録に至ったクレジットカードのなかで、PayPayでの利用があったカードに関して、カード会社と連携を進めております。
PayPayで不正なクレジットカードが登録できてしまえば、前回記事でもその可能性を書きましたが、家電量販店での高額商品購入>現金化の流れが出来てしまいます。登録カードの履歴を定期的にウォッチすれば、不正被害はある程度で抑えられるとは思います。なので、もしそうした意図があって発表の数字を抑えた表現にするのであれば、分からなくもありません。
とは言え、もし不正クレジットカードでの登録試行に関しては、気になる部分があります。それは、先日クレジットカード情報を2,169件漏えいした、エデットモード社の発表にあるフォレンジック調査会社の見解です。
個人情報漏洩の件に関するお詫びとご説明(補足) - EDITMODE / THE KING OF GAMES
2018年8月31日、調査会社から調査結果が報告されました。この報告によると、弊社サイトが不正アクセスによる改竄を受け、弊社サイトが、本来は決済時に一時的に利用するのみであったお客様のクレジットカード情報を弊社サイトのシステム内に保管するようになっていたとのことです。そして、弊社サイトのシステム内に弊社が意図しない保管がなされていたクレジットカード情報がやはり不正アクセスにより複数回ダウンロードされ窃取されていることが確認されました。このダウンロードの対象となったクレジットカード情報の総数は1万4679件でしたが、そのほとんどがクレジットカード情報の有効性確認がなされていたものと判断されるとのことでした。
(エデットモード社公式発表より引用)
この事件では、約1.4万件のクレジットカード情報が不正利用されており、その内でこのサイトからクレジットカード情報が漏洩していたと判断されるのが2,169件に過ぎず、約1.2万件のデータが有効性チェックだけに使われていた事になります。
※1 有効性確認
弊社サイト外で流出したであろうカード情報を、弊社サイトを使用して利用可能か確認することです。本件では大量に入力した痕跡を確認いたしました。その件数が上記の14,679件に含まれています。
(エデットモード社公式発表より引用)
もし仮にPayPayで有効性確認だけされて、PayPay経由でカードが使われなかった場合、別なECサイトで正常の取引として不正利用されてしまう可能性があります。この場合の検知は一層困難であり、だからこそ、最初のシステム設計(セキュリティを考慮した)が重要なのだと言えます。
※来年は、もっとSecurity By Design(シフトレフト)の考えが広がると良いのですが。
読者の皆様、良いお年を。
foxsecurity.hatenablog.com
更新履歴