PayPayクレジットカード悪用問題から考える、金融システムが守るべき安全対策基準とは

無料メルマガ登録でプレゼント！書籍「セキュリティ対策の基礎知識」

PayPayで起きたクレジットカード悪用問題。まだ他人事と感じている方も多いようですが、キャッシュレス社会構築を目指す日本においては、根幹を揺るがしかねない事態です。今回はこの件について考察していきたいと思います。

この記事の目次

1 PayPayでなぜクレジットカード悪用ができたのか
2 金融システムの”基本”を知らないシステム
3 お金を扱う意識の無い者がシステムを作ってはいけない
4 安全なキャッシュレス社会のために

PayPayでなぜクレジットカード悪用ができたのか

まずは、今回の問題がどのようなものかを押さえておきます。

内容としては、所謂”なりすまし”でクレジットカードを悪用するものです。これだけであれば、今までにもありました。今回最大の問題は「クレジットカードの”番号だけ”で悪用が可能になった」というところです。

“本人が使用しているか”の確認が不十分だった

クレジットカードの利用にはクレジットカード番号が必要です。これは当然ですね。しかし、これだけだと番号がわかれば誰でも使えてしまいますので、使用の際は”本人が使おうとしているのか”を確認するために、「パスワード」や「セキュリティコード（カード裏面の番号）」の使用、或いは「サイン」をする必要があります。

PayPayのシステムでは、このセキュリティコードの入力が、”何回でも試すことができる”仕様となっていました。つまり、3桁のセキュリティコードであれば、最悪でも1000回試せば使えてしまうことになります。

クレジットカード保有者全員が被害者になる可能性

この問題の最も恐ろしいところは、”クレジットカードを持っている人は誰でも”被害者になる可能性があることです。

クレジットカードの番号は過去の漏えい事件等により、ダークウェブで普通に売買されています。しかし、カードの現物がない、パスワードがわからない、セキュリティコードがわからないことによって、簡単には悪用できない状態にありました。

しかし、PayPayのシステムでは、セキュリティコードがバレているも同然なので、ダークウェブに流出しているクレジット番号が悪用可能になってしまったのです。これではクレジットカードへの信頼を根幹から損ないかねません。

金融システムの”基本”を知らないシステム

金融システムは、直接「お金」に絡むことですので、本来こんなシステムはあり得ません。金融システムをまともに作った経験があるなら常識的にあり得ない感覚でしょう。

金融システムには安全対策基準が設けられている

もちろん、業界自体も金融システムの安全性確保は認識しています。内閣府所管の「金融情報システムセンター（FISC）」という公益財団法人を作り、「金融機関等コンピュータシステムの安全対策基準」（以下、「安全対策基準」）を定めています。

金融機関”等”ですから、決済システムであるPayPayも当然守るべき基準でしょう。

PayPayは本来守るべき基準を守っていなかった

この「安全対策基準」の「基準番号-実16、不正アクセスの監視機能も設けること」には、下記の対策が必要としています。

連続した何回かのアクセス失敗に対しては、強制終了・取引禁止等を行う機能を設けること

つまり今回の事件は、そもそも金融機関等が守るべき基準を守っていないから起きた、ということなのです。

お金を扱う意識の無い者がシステムを作ってはいけない

暗号資産（仮想通貨）取引でも、多くの取引所が行政処分を受けました。「システム的にできる」ことと「安全にできる」ことの間には、天と地の差があります。

“便利”や”儲かる”の名のもとに、お金に係る多くのシステムが乱立していますが、今回のように、金融システムの基本すら守らない（知らない？）システム屋が気軽に作ってしまうことにより、日本の通貨の信頼が揺らいで行きます。

金融システムにおいて、ネット上を動いているものは、単なる「データ」ではなく「お金」です。現金輸送をする感覚で、安全なシステムを作らなければいけません。単なるデータを動かしている感覚でシステムを作っているから、このような事態が起きるのでしょう。だからこそ、今回の問題を、なあなあで済ませてしまうと、日本社会の根幹を揺らがせかねないと心配するのです。