大変なことが起きました。ただいま「2018年のセキュリティ事件ランキング」を連載中ですが、ぶっちぎりの第一位が新たに登場しましたので、急遽特別寄稿です。

1位差し替え：PayPayは何度でもクレジットカードの登録を失敗出来た
これ、世界的な被害が起きる可能性のある事件です。PayPayを使っているかどうかは関係ありません。日本人である必要も、日本での決済である必要もありません。理論上、全世界の人が被害者になる可能性があります。

もっとも、カード会社にも不正を察知する仕組みがあるため、不正はすぐに見つかるでしょうし、顧客は保護されます。しかし、突破されたカードは再発行が必要で、その費用も期間も長期化のおそれがあります。PayPayは、一番やってはいけないことをしてしまいました。クレジットカードの世界での「核のスイッチを押した」んです。

これを書いているうちも、PayPayのCMが流れていますね。とんでもないことをしでかしたことに気づいていないんでしょうか。炎上防止の鉄則は、初期対応を迅速に行うことです。ここをしくじると、雪印クラスの企業が跡形もなく無くなるんですよ。

さすがにこの仕様欠陥は閉じたようですが、一回洩れたカード情報はどこでどう使われるかわかりません。Yahoo Japanは2013年に150万人近くのパスワード、2200万件のIDの漏洩があった可能性があることを公表しています。ここで盗まれた情報の中に、カード番号・氏名の組み合わせがあったら、過去に自分が蒔いた種がここにきて巨大な”余震”を起こしたということかもしれません。残りの、期限やセキュリティコードの組み合わせの数なんて自動化されていれば、たかが知れています。そういえばPayPayは大規模なシステム障害を起こしていましたが、それだってこうした総当たり攻撃を受けていたからかもしれませんね。

※米国Yahooの方が莫大な数のカード情報を漏えいしていますが、日本Yahooとは資本関係も無い別会社です。そちらまで関連付けてはいけませんのでご注意。

ここに僕が書いたコメントもご覧ください。
https://newspicks.com/news/3538195?ref=user_1218814

何がマズいのか、そしてPayPayを利用しているいないに関係なく被害を受ける可能性があるのか。この辺は多くの方が気づいてもいるようですが、要するに「無限に登録を失敗できるならいつかは突破できる」という至極当たり前のことを見逃していた、到底プロの仕事とは思えない仕様であったということです。

総当たり攻撃というものがあります。たとえば、セキュリティコードは3桁ありますが、これを当てるためには千通りのコードを入力すれば絶対に突破できるわけです。人間の手で入力していては非効率なので、自動で高速に実行するプログラムを用いて突破します。ちなみに、RPAというのはこのような「人間の代わりに高速に反復作業をしてくれる」仕組みなので、RPAを使ったら楽に仕組みを構築できます。

なので普通、５～６回失敗したらロックされるのが当たり前なんです。それを、リテラシーが低いユーザに門戸を拡げるためにと、あまりにも敷居を低くしてしまった結果がこれ。

そして、PayPay自体は3万円以上の決済を行う場合、本人確認を必須という仕組みを取っていました。なので、こうして不正に登録されたアカウントでPayPayを不正利用することは非効率で、コソ泥程度の盗みしかできなかったでしょうが、問題は別にあります。

僕なら、間違いなくこのクレジットカードで仮想通貨を買います。そしてすぐに引き出して現実通貨にしてしまえば終わり。チャリーンです。

あえてPayPayでは買い物をしません。どうせ高額決済ができないだけでなく、被害のあったサイト・サービスで目立つ犯行を行うより、遠いところで、かつ出来るだけ高い買い物をして、しかも買ったものの換金性が高いことの方が犯罪者にとってメリットがあります。

ただ、利用者の方は基本的にクレジット会社に保護されていますので、基本的には大丈夫であることが殆どだとは思います。しかし、問題はその被害額は通常クレジット会社が被りますので、被害を起こす元となったPayPayに対して、クレジット会社からの損害賠償請求が行われる可能性があります。被害額によっては100億円キャンペーン＠クレジット会社の皆さま限定、なんてことになるかもしれませんよ。

で、クレジットカードの決済において、セキュリティの規格があります。PCI DSSという規格です。PCI DSSは、このサイトから規約に合意することで誰でも見ることが出来ます。
https://ja.pcisecuritystandards.org/minisite/en/pci-dss-v3-0.php

PCI DSSの特徴は、その他のセキュリティ規格と比べて、非常に具体的に詳細な対策方法を示していることです。ISMSとかプライバシーマーク、米国NIST SPシリーズ等と比べて、この点が顕著です。上のリンクから規程文を参照し、P21以降をサッと眺めていただくと、専門の方でなくても、具体的で詳細な指示があることがわかると思います。

日本Yahooは、Yahoo!ウォレットでPCI DSS認定を取得済です。（下記リンクをPCIで検索してください）
https://about.yahoo.co.jp/csr/stakeholder/06.html
しかし、PayPayのプライバシーポリシーにはPCI DSSを取得済であるとは書かれておらず、状況は不明です。というか、ISMSもプライバシーマークも取得している様子が無く、ちゃんとしたセキュリティガバナンスが効いているのか不明です。
https://www.paypay-corp.co.jp/docs/terms/privacy/

少なくとも、Yahooやソフトバンクの指導や、共通のセキュリティ基準の適用があれば防げたはずの問題なのです。親会社ともども、責任は重大です。

金融庁は、PCI DSSを取得していない企業にクレジットカード決済サービスを許可してはいけないんじゃないですかね？コインチェックの件で、仮想通貨事業者に対するセキュリティ態勢のチェックが大変厳しくなりました。やはり金融業において金融庁は絶対に目を付けられてはいけない絶対神。そもそも、そういうガバナンスを効かせていなかったこと自体が国会で追及されるくらいの大問題であり、これしばらく国会も荒れるかもしれません。セキュリティ担当のあの大臣では答弁できないと思うので官僚の皆さんはご苦労様です。

で、結局皆さんはどうしなければいけないかというと、カードの明細は全部チェックしましょうねというだけ。それ以外どうしようもありません。

緊急寄稿は以上です。ZEROでこの業界では有名な石川温さんが説明されてますが、さすが的を射た、この問題の本質を理解されている発言でした。ようやく正しい情報が明日の朝にはキチンと伝わっていきそうです。