PayPayに導入される「3Dセキュア」とは?

キャッシュレス化

PayPayに導入される「3Dセキュア」とは?

2018年末にPayPayが実施した『100億円あげちゃうキャンペーン』は話題になりましたが、その裏では不正利用も起きていたようです。その対策のひとつとして、PayPayは2019年1月に「3Dセキュア(本人認証サービス)」を導入すると発表しています。

https://paypay.ne.jp/notice-static/20181227/01/

PayPayで起きた不正利用とは、どのようなものだったのでしょうか。また、本人確認を厳重にするためにPayPayに新たに導入される「3Dセキュア」とは、どのようなものでしょうか。

PayPayで起きた不正利用とは?

PayPayは、QRコード・バーコードで支払う決済サービスです。サービスが開始されてからしばらく経つと、身に覚えのないクレジットカード利用に気付く人がチラホラ出始めます。被害者となった人たちは、PayPayを利用していないにも関わらず、知らないうちにPayPayに自分のクレジットカードが登録されて買い物されていたのです。

PayPayをダウンロードすらしていないのにクレジットカードを不正利用されてしまったわけですから、PayPayを利用することでクレジットカード情報が流出したのではありません。この不正利用が起きた原因は、PayPayの登録画面の設計、および、PayPay登録時に本人確認が十分にされていない点にありました。

不正利用を行った犯人は何らかのルートを通じて、実在するクレジットカード番号のリストを入手していたと思われます。不正利用をされてしまったクレジットカード番号は、PayPayのサービスとは関係なく、すでに漏れていたのです。

ただし、クレジットカード番号だけでは、クレジット決済を完了することはできません。クレジットカード番号と、セキュリティコード(カード裏面の3桁の数字)の組み合わせが合致して初めて決済完了となります。

問題は、PayPayの登録画面でセキュリティコードの入力回数に上限が設定されておらず、3桁の数字を繰り返し入力して一致すれば、そのクレジットカードが本人のものかどうかに関わらず登録できてしまう点にありました。

一度クレジットカードが登録できれば、PayPayで支払いができるようになります。その不正登録によるPayPay利用の請求先は、被害者となるクレジットカードの持ち主になってしまうというわけです。

3Dセキュアとは?

3Dセキュアとは、VISA、Mastercard、JCB、AMEXが推奨する本人確認の技術です。簡単に言ってしまえば、クレジットカードに自分自身で決めたパスワードを設定しておくことで、パスワードを知る本人以外がクレジットカードを使えないようにする仕組みです。

インターネットショッピングでクレジットカード払いにする場合、たいていはクレジットカード番号・カードの有効期限、および、セキュリティコード(カード裏面の3桁の数字)を入力すれば、決済を完了させられます。

しかし、3Dセキュアに対応したクレジットカードを利用する場合には、これらの情報に加えて自分で設定したパスワードが無いと本人確認ができず、パスワードを知らなければクレジットカードを利用することができません。

クレジットカードを3Dセキュア対応にするには

クレジットカードを3Dセキュア対応にするには、まずカード発行会社が3Dセキュアに対応している必要があります。そのカード発行会社のウェブサイトなどでパスワードを事前に登録します。

3Dセキュアに対応しているお店やネットショップでクレジットカードを利用できるのは、パスワードを知っている本人のみということになります。

尚、クレジットカードの4大国際ブランドVISA、Mastercard、JCB、AMEXは、いずれも3Dセキュアに対応していますから、多くのクレジットカードでは3Dセキュアを利用できます。