paidyのセキュリティがザル過ぎて詐欺に悪用されるリスクがあるのではないか

電子決済 ビジネス

昨日の記事で、paidyを使ってみたらセキュリティがザル過ぎて怖くなったと書きました。この件をもう少し検討してみると、paidyは大規模な詐欺に悪用されるリスクが現状でも相当程度あるのではないかという結論に達しましたので以下に述べます。

paidyのセキュリティが詐欺に悪用されるリスク

「paidyはセキュリティが危ないのか。じゃあ自分は使わないでおこう」と避けようとしてもムダです。なぜなら、以下の方法が使えるからです。

1. 犯人が飛ばし携帯を用意する。
2. 1の携帯番号と第三者の氏名、住所(又は完全な架空の氏名、住所)を使ってpaidyで買い物をする。
3. 利用の翌月、メールで請求が届く。
4. 犯人が支払いを放置。
5. 登録した第三者の住所に督促の郵便が届き初めて不正利用に気づく。



paidyは決済の度に必ずSMSが飛んでくるので、自分が登録して使う分にはセキュアであると思います。しかし、本人確認がザルであることを悪用され、他人に自分の氏名と住所をなりすまして知らないところで使われたら防ぎようがありません。もっとも完全な架空の氏名、住所でも使えるので犯人からしたらあえて他人の氏名、住所を借用する必要もないかもしれませんが、仮に自分がなりすましの被害に遭ったら使用していないことを抗弁しなければなりません。



2020年9月に発覚した大規模な電子決済不正引き出し事件でも本人確認のザルさが悪用されました。

このときは、メールアドレスのみあれば開設できる電子決済サービスの「ドコモ口座」と、国内で口座数の最も多い「ゆうちょ銀行」を組み合わせて使われたケースが最も多かったですが、被害に遭ったのはそれに限りません。犯人は被害者の銀行口座の情報を事前に入手していなくても逆ブルートフォースアタックを使ってネットバンクから盗み出せばよかったことも犯行を容易にしました。



paidyは、2020年1月にメルカリと組み合わせた詐欺事件が発生した後に、本人確認措置を導入したと発表しています。

あと払いサービスのPaidy(ペイディー)は、1月に発生した、Paidy決済の不正利用による売上金詐取発生を受け、再発防止に向けた対策として「AI顔認証による本人確認」、「AIによる不正検知システムのレベルアップ」、「EC加盟店の不正対策チームとのより一層の連携強化」の3つの取り組みを行なう。

……

これまではクレジットカードのような本人確認や事前審査が不要で、与信はメールアドレスと電話番号を入力した時点で完了する点を特徴としていた。



あと払いの「Paidy」、顔認証による本人確認導入。売上金詐取の不正受け - Impress Watch


しかし昨日の私の記事で書いた様に、現在も「通常のペイディ」では、携帯電話番号(SMS)が唯一の認証で、アプリのダウンロードすら不要である点は、変わっていません。

f:id:J_J_R:20210814071416p:plain
Paidy | できること

 



paidyは、利用者の個人情報は加盟店側からも入手できるため本人確認を省略しても構わないと考えていると思われますが、私が利用したDMMには、私は個人情報をメアド以外何も登録していません。(よく考えると、何万円分もの電子書籍を購入して預けているのに、メアド以外に本人を証明する手段がないというのも考えものですね。)


f:id:J_J_R:20210815210459p:plain



paidyはamazonをはじめとする以下の様な国内のメジャーな通販サイトで利用が可能となっており、電子決済の分野でシェア拡大を狙っています。

f:id:J_J_R:20210815211135p:plain
Paidy | おすすめのお店

paidyはセキュリティリスクよりもシェア獲得を優先して放置しているのでは?

前述の詐欺事件で使われた高額な家電製品等の購入には対策を行なったようですが、少額決済は依然として本人確認なしで使えています。本人確認の必要ないペイディでの利用上限金額は明示されていませんが、数万円程度は使えるのではないでしょうか。このようにpaidyがセキュリティリスクを放置しているのも、電子決済の分野ではシェアを取ることが何よりも大事だからです。paypayや競合の電子決済サービスが巨額の損失を出してまで大盤振る舞いのポイント還元のキャンペーンを行っているのも、最初にシェアを拡大させてしまえば後は勝手に利用者が増えていき、費用をかけなくても効率的に手数料を集金することが可能になるビジネスモデルだからです。


後払い決済は本人確認のいらない手軽さで利用者を増やしてきた。アプリのダウンロードや写真撮影の手間がかかると、消費者の一部が離れる可能性もある。杉江社長は事業への影響について「利用者を増やす計画が半年程度遅れそうだ」と話した。「短期的に成長が鈍っても利用者の安心や安全を重視すべきだと判断した」という。


後払いのPaidy、顔認証で本人確認 不正利用受け対策: 日本経済新聞


paidyの社長はセキュリティ対策導入時の取材に「短期的に成長が鈍っても利用者の安心や安全を重視すべきだと判断した」とコメントしていますが、一部はそのコメント通り実行していますが、一部はリスクを認識しつつもなおシェア獲得にメリットがあると判断して温存(放置)していることになります。多少踏み倒されたとしても、手続きをできるだけ簡単にして今まで使ったことのない利用者を増やしていくことの方が後々の利益に繋がるということです。



前の記事で書いたように、本人確認なし、年齢確認なし、利用規約の同意なし、最初の利用登録から決済まで1分程度で完了というサービスは私の知る限り他に例がありません。おそらくその背景には、一件の不正利用もないようにガチガチに固めるよりも、多少の被害があってもAIに学習させ許容できる範囲内に収めた方が利益を最大化できる、という実に資本主義的な考え方があるのだと思われます。私はセキュリティの専門家でもないただのマネーに興味のある一利用者に過ぎませんが、これほど大胆にサービスが展開されていながら識者から懸念や指摘する記事がネットを検索しても見当たらないのはどういうことなのでしょうか?私の心配は杞憂で十分に対策が行われているのだというご指摘があれば是非お聞かせください。