2018年10月5日より提供が開始された決済サービス「PayPay」に関連するインシデントについてまとめます。
インシデントを含む最近の出来事
日時 | 出来事 |
---|---|
2018年7月3日 | QRコードを用いた決済サービス「PayPay」の提供を開始するとアナウンス*1 |
2018年10月5日 | PayPayのサービス提供開始。*2 |
2018年11月22日 | PayPay支払い時に還元する「100億円あげちゃうキャンペーン」を発表。*3 |
2018年12月4日 | 100億円あげちゃうキャンペーンを開始。 |
同日 | ビックカメラグループ、ファミリーマートでPayPay支払いの利用開始。 |
同日 | PayPay支払いで多重課金される不具合が発生。 |
2018年12月13日 | 還元上限額に到達したとして100億円あげちゃうキャンペーンが終了。*4 |
2018年12月17日 | PayPay支払いによるクレジットカードの不正利用が多発していると報道。 |
2018年12月18日 | アプリのクレジットカード情報の入力回数制限に対応したバージョンアップ。*5 |
2018年12月19日 | 一連のトラブルに対してPayPayがお詫び。*6 |
2018年12月21日 | 不正利用の一時的な対策として月あたりのカード利用額を5万円に制限。 |
同日 | SNS上での指摘を受け譲渡機能で利用するQRコードの実装を修正。 |
2018年12月27日 | PayPayが3Dセキュアの導入予告とカード不正利用への補償について発表。*7 |
サービス開始以降に発生したPayPayで発生した障害・不具合など
PayPayからお知らせにて掲載されているメンテナンス、障害、不具合は以下の通り。
No | 分類 | 発生期間 | 概要 |
---|---|---|---|
1 | 障害 | 2018年10月27日〜2018年11月1日 | PayPayボーナス進呈に遅延が発生。*8 |
2 | 不具合 | 2018年11月6日15時30分頃〜21時37分頃 | 「全国で使えるお店一覧」の位置情報表示に不具合が起こり提供を一時停止。*9 |
3 | 障害 | 2018年11月24日12時55分頃〜14時30分頃 | PayPayの決済、チャージ、送金(譲渡)機能に不具合が発生。*10 |
4 | 障害 | 2018年11月28日 | キャンペーンの進呈が行われていなかった。12月12日までに進呈を完了。*11 |
5 | 不具合 | 2018年11月28日 | Android版のコード支払い利用時に支払い完了画面が表示されない等の不具合。 |
6 | 障害 | 2018年12月3日16時40分頃〜17時40分頃 | PayPayのサービスが利用できない状態が発生した。*12 |
7 | メンテナンス | 2018年12月4日0時30分〜1時30分の間 | メンテナンスによりPayPayサービスが停止。*13 |
8 | 障害 | 2018年12月4日12時45分頃〜13時56分頃 | PayPayが利用しづらい、多重決済される状態が発生。*14 |
9 | 障害 | 2018年12月4日18時14分頃〜18時31分頃 | PayPayが利用できない状態が発生。*15 |
10 | 障害 | 2018年12月4日(断続的に発生) | PayPayが利用しづらい状況が発生。*16 |
11 | 障害 | 2018年12月6日17時45分頃〜18時25分頃 | PayPayが利用しづらい状況が発生。*17 |
12 | 不具合 | 2018年12月7日 | Android版アプリで特定のChromeバージョン利用時にYahoo!JAPAN IDにログインできない不具合。*18 |
13 | 不具合 | 2018年12月8日 | PayPayボーナスの付与表示遅延が発生。*19 |
14 | 不具合 | 2018年12月8日 | PayPay決済履歴の表示遅延が発生。*20 |
15 | メンテナンス | 2018年12月8日17時10分〜17時25分 | 緊急メンテによりPayPayが利用できない状況が発生。*21 |
16 | メンテナンス | 2018年12月13日18時5分頃〜19時26分頃 | 緊急メンテによりPayPayが利用できない状況が発生。*22 |
17 | 不具合 | 2018年12月21日17時17分頃〜翌22日16時26分頃 | 金融口座から5万円超のチャージが利用できない状態が発生。*23 |
12月4日に発生した多重決済の障害
- 2018年12月4日午後にPayPayが利用しづらい状態が発生した。
- 当該期間中にPayPay支払いを利用した一部のユーザーが多重決済された。
- 多重決済は同一金額の支払いが2回に限らず3回、4回なども確認されていた。
- PayPayは多重決済が発生した利用者に対し、サポートへ連絡するよう案内。
- 報道によれば購入先に利用者が出向いて確認が必要となるケースもあった模様。
【悲報】
— ピエール@panic life (@_panic_life) December 4, 2018
paypay支払い時にエラーが多発。「再度お試しください」を押しまくったら、重複されてクレジットの残高が無くなるまで搾り取られた模様。(返金手続き済み)
なお、抽選はおろか20%付与までされてない模様。
現場からは以上です。
皆さんお気をつけくださいヽ(;▽;)ノ#paypay #ビックカメラ pic.twitter.com/vS9quYzuO5
まって、paypay通信エラーになりまくってチャージできなくて何度もチャレンジしてたら反映されてるんだけど pic.twitter.com/m9BryZSSYj
— 猫(( ⸝⸝•ᴗ•⸝⸝ )੭♡ (@w_cat_Neko_) December 4, 2018
還元キャンペーン終了情報の怪情報
- 還元上限額がキャンペーン全体で100億円までと設定されているため、終了時期に関連する怪情報が出回った。
- 2018年12月7日にはヤマダ電機が「100億達成間近!!!お急ぎください!!!」とポップを掲示した。*24
- 2018年12月10日には内部情報からとして14日、15日に終了が予測されるといった怪情報がTwitterに投稿された。*25
- 2018年12月13日にはファミリーマートの内部向け連絡資料と思われる画像が出回った。*26
- 画像にはキャンペーンは13日23時59分で終了。22時まで厳秘とすると記述されていた。
- Twitterでは2018年12月13日午後には既に出回っていたとみられる。
- 怪情報を元に取材したメディアへ対してPayPayは自社発表の情報ではないと否定。
クレジットカードの不正利用
- 2018年12月11日頃からインターネット上でPayPay支払いを通じたクレジットカードの不正利用があると報告が出始める。
- 2018年12月14日にPayPayも利用記憶のないクレジットカード請求への対応を案内。*27
【お知らせ】
— PayPay株式会社 (@PayPayOfficial) December 15, 2018
ご自身のクレジットカードに、PayPayから身に覚えのない請求がありましたら、こちらをご参照ください。
→ https://t.co/nI8S1YANBD
PayPayではお客さまの情報を適切な方法で管理しており、安全にサービスをご利用いただけます。
- PayPayを用いた不正利用被害は初めて。
- PayPayには12月11日以降、数十件の問い合わせがあった。サービスを利用していない人からも問い合わせがあった。
- 警視庁へは不正利用の複数の被害相談が寄せられている。
不正利用の手口・発覚の流れ
- (1) 何らかの手段を用いてクレジットカード情報を登録。
- (2) PayPay支払いで家電量販店などで高額決済。
- (3) クレジットカード会社から不正利用の連絡が利用者へ通知。
不正利用の被害金額
- 全体の被害金額等の情報は公式では明らかにされていないが、数億円程度との報道がある。*28
- 一人当たりの被害は100万円に及んでいたケースも報告されている。
報じられた被害事例
概要 | 被害金額 |
---|---|
家計簿アプリで心当たりのない家電量販店の支払いを確認。 | 約78万円 |
PayPayを利用していないが、カード会社から家電量販店の支払いがあると問い合わせ受け発覚。 | 約4万5000円 |
Twitterでの報告の引用 | 約50万円 |
原因
- セキュリティコード等手当たり次第に入力する方法で悪用された可能性がある。*29
- PayPay支払いに登録する有効期限やセキュリティコードを入力試行が出来たという検証記事がある。*30
- 入力回数制限を設定していなかった理由は「利用者の入力ミスなどを想定していた」とPayPay広報の回答が報じられている。*31
- 不正利用は第三者がPayPay支払いを悪用したものであり、PayPayからクレジットカード情報が流出したわけではない。
- クレジットカード情報が何らかの際に流出していた場合に影響を受け、PayPayを自分が利用しているかは関係がない。
- 12月18日にPayPayは不正利用発覚後の対応としてセキュリティコード(CVV)などの入力回数制限を設定している。
- 制限にかかるとアカウントロックが行われる仕組み。
- その後の調査で以下に該当するいずれも不正利用ではなかったと明らかにし、3Dセキュアの早期導入を発表した。
- PayPayにクレジットカードを登録した。
- 20回以上、セキュリティコードの入力を誤っていた。(サービス開始以来13件登録)
- PayPayを経由してカード決済を利用した。(9件が確認されいずれも本人が利用)
カード情報がダークウェブ上で売買か
- 12月4日の還元キャンペーンに合わせてクレジットカード情報が大量に売買されていたとマキナレコードが取材に回答している。*32
譲渡用QRコードが平文で実装されていると話題
PayPayの「金額指定お金受け取り」QRって単純すぎて怖い。
— 茂田カツノリ@𝕤𝕙𝕚𝕘𝕖𝕫𝕠(業務システム&IoTコンサル)_CES2019からの(略 (@shigezo) December 20, 2018
https://qr.paypay.ne.jp/暗号化されたユーザID?session_id=セッションID&amount=金額
なので簡単に作れた。
ちなみにWeChat Payは
wxp://f2f1gLFd0RG(中略)776AI8DQV0
と金額も含め暗号化されててる。普通はこうだよね。 pic.twitter.com/AHD6aNzbaF
- PayPayは金額などの改ざんはできず直接詐欺等への悪用に利用できるものではないとコメント。
- 2018年12月21日に修正が加えられ、金額部分が平文ではなくなった。*33
更新履歴
- 2018年12月19日 AM 新規作成
- 2018年12月23日 AM 続報反映
- 2018年12月30日 PM 続報反映
*1:https://about.yahoo.co.jp/pr/release/2018/07/27a/
*2:https://image.paypay.ne.jp/pdf/pr20181005.pdf
*3:https://image.paypay.ne.jp/pdf/pr20181122_02.pdf
*4:https://image.paypay.ne.jp/pdf/pr20181213.pdf
*5:https://twitter.com/PayPayOfficial/status/1074850262458585093
*6:https://twitter.com/PayPayOfficial/status/1075219463190925312
*7:https://paypay.ne.jp/notice-static/20181227/01/
*8:https://www.paypay-corp.co.jp/notice/20181101/228/
*9:https://www.paypay-corp.co.jp/notice/20181106/01
*10:https://www.paypay-corp.co.jp/notice/20181124/01
*11:https://www.paypay-corp.co.jp/notice/20181128/01
*12:https://www.paypay-corp.co.jp/notice/20181203/02/
*13:https://www.paypay-corp.co.jp/notice/20181203/03/
*14:https://www.paypay-corp.co.jp/notice/20181204/02/
*15:https://www.paypay-corp.co.jp/notice/20181204/04/
*16:https://www.paypay-corp.co.jp/notice/20181204/05/
*17:https://www.paypay-corp.co.jp/notice/20181206/02/
*18:https://www.paypay-corp.co.jp/notice/20181207/01/
*19:https://www.paypay-corp.co.jp/notice/20181208/01/
*20:https://www.paypay-corp.co.jp/notice/20181208/02/
*21:https://www.paypay-corp.co.jp/notice/20181208/03/
*22:https://www.paypay-corp.co.jp/notice/20181213/01/
*23:https://www.paypay-corp.co.jp/notice/20181221/02/
*24:https://twitter.com/maenomelife/status/1070956366469115904
*25:https://twitter.com/shuenoya1040027/status/1071978154107883520
*26:PayPayキャンペーン本日終了? 怪文書出回る。PayPayは「公表したものではない」と否定,engadget,2018年12月13日
*27:https://www.paypay-corp.co.jp/notice/20181214/01/
*28:ペイペイ被害が数億円に 経産省など、本人確認指針策定へ,東京新聞,2018年12月29日
*29:ペイペイ不正対策強化 カード流出情報で被害か,読売新聞,2018年12月18日朝刊
*30:PayPayの「仕様」がクレジットカード不正利用の原因に?試してみた,カミアプ,2018年12月17日
*31:https://twitter.com/kabuakan/status/1074678218043449345
*32:「50万以上、どーなってるの」…ペイペイ不正,読売新聞,2018年12月18日