piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

PayPayに関連するインシデントについてまとめてみた

2018年10月5日より提供が開始された決済サービス「PayPay」に関連するインシデントについてまとめます。

インシデントを含む最近の出来事

日時 出来事
2018年7月3日 QRコードを用いた決済サービス「PayPay」の提供を開始するとアナウンス*1
2018年10月5日 PayPayのサービス提供開始。*2
2018年11月22日 PayPay支払い時に還元する「100億円あげちゃうキャンペーン」を発表。*3
2018年12月4日 100億円あげちゃうキャンペーンを開始。
同日 ビックカメラグループ、ファミリーマートでPayPay支払いの利用開始。
同日 PayPay支払いで多重課金される不具合が発生。
2018年12月13日 還元上限額に到達したとして100億円あげちゃうキャンペーンが終了。*4
2018年12月17日 PayPay支払いによるクレジットカードの不正利用が多発していると報道。
2018年12月18日 アプリのクレジットカード情報の入力回数制限に対応したバージョンアップ。*5
2018年12月19日 一連のトラブルに対してPayPayがお詫び。*6
2018年12月21日 不正利用の一時的な対策として月あたりのカード利用額を5万円に制限
同日 SNS上での指摘を受け譲渡機能で利用するQRコードの実装を修正
2018年12月27日 PayPayが3Dセキュアの導入予告とカード不正利用への補償について発表。*7

サービス開始以降に発生したPayPayで発生した障害・不具合など

PayPayからお知らせにて掲載されているメンテナンス、障害、不具合は以下の通り。

No 分類 発生期間 概要
1 障害 2018年10月27日〜2018年11月1日 PayPayボーナス進呈に遅延が発生。*8
2 不具合 2018年11月6日15時30分頃〜21時37分頃 「全国で使えるお店一覧」の位置情報表示に不具合が起こり提供を一時停止。*9
3 障害 2018年11月24日12時55分頃〜14時30分頃 PayPayの決済、チャージ、送金(譲渡)機能に不具合が発生。*10
4 障害 2018年11月28日 キャンペーンの進呈が行われていなかった。12月12日までに進呈を完了。*11
5 不具合 2018年11月28日 Android版のコード支払い利用時に支払い完了画面が表示されない等の不具合。
6 障害 2018年12月3日16時40分頃〜17時40分頃 PayPayのサービスが利用できない状態が発生した。*12
7 メンテナンス 2018年12月4日0時30分〜1時30分の間 メンテナンスによりPayPayサービスが停止。*13
8 障害 2018年12月4日12時45分頃〜13時56分頃 PayPayが利用しづらい、多重決済される状態が発生。*14
9 障害 2018年12月4日18時14分頃〜18時31分頃 PayPayが利用できない状態が発生。*15
10 障害 2018年12月4日(断続的に発生) PayPayが利用しづらい状況が発生。*16
11 障害 2018年12月6日17時45分頃〜18時25分頃 PayPayが利用しづらい状況が発生。*17
12 不具合 2018年12月7日 Android版アプリで特定のChromeバージョン利用時にYahoo!JAPAN IDにログインできない不具合。*18
13 不具合 2018年12月8日 PayPayボーナスの付与表示遅延が発生。*19
14 不具合 2018年12月8日 PayPay決済履歴の表示遅延が発生。*20
15 メンテナンス 2018年12月8日17時10分〜17時25分 緊急メンテによりPayPayが利用できない状況が発生。*21
16 メンテナンス 2018年12月13日18時5分頃〜19時26分頃 緊急メンテによりPayPayが利用できない状況が発生。*22
17 不具合 2018年12月21日17時17分頃〜翌22日16時26分頃 金融口座から5万円超のチャージが利用できない状態が発生。*23

12月4日に発生した多重決済の障害

  • 2018年12月4日午後にPayPayが利用しづらい状態が発生した。
  • 当該期間中にPayPay支払いを利用した一部のユーザーが多重決済された。
  • 多重決済は同一金額の支払いが2回に限らず3回、4回なども確認されていた。
  • PayPayは多重決済が発生した利用者に対し、サポートへ連絡するよう案内。
  • 報道によれば購入先に利用者が出向いて確認が必要となるケースもあった模様。


還元キャンペーン終了情報の怪情報

  • 還元上限額がキャンペーン全体で100億円までと設定されているため、終了時期に関連する怪情報が出回った。
  • 2018年12月7日にはヤマダ電機が「100億達成間近!!!お急ぎください!!!」とポップを掲示した。*24
  • 2018年12月10日には内部情報からとして14日、15日に終了が予測されるといった怪情報がTwitterに投稿された。*25
  • 2018年12月13日にはファミリーマートの内部向け連絡資料と思われる画像が出回った。*26
    • 画像にはキャンペーンは13日23時59分で終了。22時まで厳秘とすると記述されていた。
    • Twitterでは2018年12月13日午後には既に出回っていたとみられる。
    • 怪情報を元に取材したメディアへ対してPayPayは自社発表の情報ではないと否定。

クレジットカードの不正利用

  • 2018年12月11日頃からインターネット上でPayPay支払いを通じたクレジットカードの不正利用があると報告が出始める。
  • 2018年12月14日にPayPayも利用記憶のないクレジットカード請求への対応を案内。*27

  • PayPayを用いた不正利用被害は初めて。
  • PayPayには12月11日以降、数十件の問い合わせがあった。サービスを利用していない人からも問い合わせがあった。
  • 警視庁へは不正利用の複数の被害相談が寄せられている。
不正利用の手口・発覚の流れ
  • (1) 何らかの手段を用いてクレジットカード情報を登録。
  • (2) PayPay支払いで家電量販店などで高額決済。
  • (3) クレジットカード会社から不正利用の連絡が利用者へ通知。
不正利用の被害金額
  • 全体の被害金額等の情報は公式では明らかにされていないが、数億円程度との報道がある。*28
  • 一人当たりの被害は100万円に及んでいたケースも報告されている。

報じられた被害事例

概要 被害金額
家計簿アプリで心当たりのない家電量販店の支払いを確認。 約78万円
PayPayを利用していないが、カード会社から家電量販店の支払いがあると問い合わせ受け発覚。 約4万5000円
Twitterでの報告の引用 約50万円
原因
  • セキュリティコード等手当たり次第に入力する方法で悪用された可能性がある。*29
  • PayPay支払いに登録する有効期限やセキュリティコードを入力試行が出来たという検証記事がある。*30
  • 入力回数制限を設定していなかった理由は「利用者の入力ミスなどを想定していた」とPayPay広報の回答が報じられている。*31
  • 不正利用は第三者がPayPay支払いを悪用したものであり、PayPayからクレジットカード情報が流出したわけではない。
  • クレジットカード情報が何らかの際に流出していた場合に影響を受け、PayPayを自分が利用しているかは関係がない。
  • 12月18日にPayPayは不正利用発覚後の対応としてセキュリティコード(CVV)などの入力回数制限を設定している。
  • 制限にかかるとアカウントロックが行われる仕組み。
  • その後の調査で以下に該当するいずれも不正利用ではなかったと明らかにし、3Dセキュアの早期導入を発表した。
    • PayPayにクレジットカードを登録した。
    • 20回以上、セキュリティコードの入力を誤っていた。(サービス開始以来13件登録)
    • PayPayを経由してカード決済を利用した。(9件が確認されいずれも本人が利用)
カード情報がダークウェブ上で売買か
  • 12月4日の還元キャンペーンに合わせてクレジットカード情報が大量に売買されていたとマキナレコードが取材に回答している。*32

譲渡用QRコードが平文で実装されていると話題

  • 2018年12月20日に利用者からQRコードの内、金額部分が平文で送られていると指摘。


  • PayPayは金額などの改ざんはできず直接詐欺等への悪用に利用できるものではないとコメント。
  • 2018年12月21日に修正が加えられ、金額部分が平文ではなくなった。*33

更新履歴

  • 2018年12月19日 AM 新規作成
  • 2018年12月23日 AM 続報反映
  • 2018年12月30日 PM 続報反映

*1:https://about.yahoo.co.jp/pr/release/2018/07/27a/

*2:https://image.paypay.ne.jp/pdf/pr20181005.pdf

*3:https://image.paypay.ne.jp/pdf/pr20181122_02.pdf

*4:https://image.paypay.ne.jp/pdf/pr20181213.pdf

*5:https://twitter.com/PayPayOfficial/status/1074850262458585093

*6:https://twitter.com/PayPayOfficial/status/1075219463190925312

*7:https://paypay.ne.jp/notice-static/20181227/01/

*8:https://www.paypay-corp.co.jp/notice/20181101/228/

*9:https://www.paypay-corp.co.jp/notice/20181106/01

*10:https://www.paypay-corp.co.jp/notice/20181124/01

*11:https://www.paypay-corp.co.jp/notice/20181128/01

*12:https://www.paypay-corp.co.jp/notice/20181203/02/

*13:https://www.paypay-corp.co.jp/notice/20181203/03/

*14:https://www.paypay-corp.co.jp/notice/20181204/02/

*15:https://www.paypay-corp.co.jp/notice/20181204/04/

*16:https://www.paypay-corp.co.jp/notice/20181204/05/

*17:https://www.paypay-corp.co.jp/notice/20181206/02/

*18:https://www.paypay-corp.co.jp/notice/20181207/01/

*19:https://www.paypay-corp.co.jp/notice/20181208/01/

*20:https://www.paypay-corp.co.jp/notice/20181208/02/

*21:https://www.paypay-corp.co.jp/notice/20181208/03/

*22:https://www.paypay-corp.co.jp/notice/20181213/01/

*23:https://www.paypay-corp.co.jp/notice/20181221/02/

*24:https://twitter.com/maenomelife/status/1070956366469115904

*25:https://twitter.com/shuenoya1040027/status/1071978154107883520

*26:PayPayキャンペーン本日終了? 怪文書出回る。PayPayは「公表したものではない」と否定,engadget,2018年12月13日

*27:https://www.paypay-corp.co.jp/notice/20181214/01/

*28:ペイペイ被害が数億円に 経産省など、本人確認指針策定へ,東京新聞,2018年12月29日

*29:ペイペイ不正対策強化 カード流出情報で被害か,読売新聞,2018年12月18日朝刊

*30:PayPayの「仕様」がクレジットカード不正利用の原因に?試してみた,カミアプ,2018年12月17日

*31:https://twitter.com/kabuakan/status/1074678218043449345

*32:「50万以上、どーなってるの」…ペイペイ不正,読売新聞,2018年12月18日

*33:https://twitter.com/shigezo/status/1076252690584285184