こんにちは。はなくとです。
今回は、昨年末に巷を賑わせたPayPayのクレジットカード不正利用に対する対策が講じられた、とのことなので認証の観点から解説したいと思います。
その前に、経緯を簡単に振り返ってみましょう。
1.経緯
下記にPayPayのホームページの情報をもとに経緯をまとめてみました。
①2018年12月14日 クレジットカード不正利用の注意喚起が行われる。
https://www.paypay-corp.co.jp/notice/20181214/01/
②2018年12月17日 セキュリティコード入力回数の制限を設ける。
https://www.paypay-corp.co.jp/notice/20181218/01/
③2018年12月21日 クレジットカードの上限金額を設ける。
https://www.paypay-corp.co.jp/notice/20181221/01/
④2018年12月26日 クレジットカードの認証サービスとして3Dセキュア(※)を採用。
https://www.paypay-corp.co.jp/notice/20181227/01/
※3Dセキュアについてはこちらから
https://www.cardservice.co.jp/service/creditcard/3d.html
④のリンク先を参照すると、当初はセキュリティコードを総当たりによって突破したのではないかと推測し、②、③の対策を講じた、とあります。
しかし、その後の調査によってセキュリティコードを20回以上入力して突破したのは13件であり、そのうち9件は本人だったとの調査結果が出たため、本人認証を強化する、とのこと。
2.PayPayのクレジットカード不正利用対策
②~④に不正利用対策が記載されています。②はアプリケーション上の対策、③は被害額を抑える対策、④は認証要素の追加による対策です。④についてもう少し詳しく見てみたいと思います。
認証するために利用される認証要素には3つあります。
それぞれ、Something You Know(SYK)、Something You Have(SYH)、Something You Are(SYA)です。詳しくは下記を参照してください。
PayPayが④で講じたセキュリティ対策は、下図の通り、SYKの認証要素を追加した、ということです。
理想を言えば、SYKではなくSYHやSYAの認証要素を追加できればよかったのですが、コストと導入までの時間、ユーザの利便性、現実味を考慮してSYKを追加したというところでしょうか。
ちなみに、クレジットカードをオンライン決済に利用できない場合、クレジットカード自体がSYHまでカバーできます。クレジットカードをオンライン決済で利用できるようになった結果、セキュリティが弱くなってしまった・・・という感じですかね。
3.最後に
このPayPay事件は、(多分)スピードを重視した結果、セキュリティがざるなまま、サービス開始し、悲しいことになったんだと思います。
新しいことをやるときは、スピード重視するにしてもそれなりのセキュリティ専門家を交えてから始めてほしいものです。PCI-DSSとかは参考にならないんですかね。。(書いててイライラしてきました。。)
おしまい。