サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

PayPayクレジットカード悪用問題から考える、金融システムが守るべき安全対策基準とは



PayPayで起きたクレジットカード悪用問題。まだ他人事と感じている方も多いようですが、キャッシュレス社会構築を目指す日本においては、根幹を揺るがしかねない事態です。今回はこの件について考察していきたいと思います。

PayPayでなぜクレジットカード悪用ができたのか

まずは、今回の問題がどのようなものかを押さえておきます。

内容としては、所謂”なりすまし”でクレジットカードを悪用するものです。これだけであれば、今までにもありました。今回最大の問題は「クレジットカードの”番号だけ”で悪用が可能になった」というところです。

“本人が使用しているか”の確認が不十分だった

クレジットカードの利用にはクレジットカード番号が必要です。これは当然ですね。しかし、これだけだと番号がわかれば誰でも使えてしまいますので、使用の際は”本人が使おうとしているのか”を確認するために、「パスワード」や「セキュリティコード(カード裏面の番号)」の使用、或いは「サイン」をする必要があります。

PayPayのシステムでは、このセキュリティコードの入力が、”何回でも試すことができる”仕様となっていました。つまり、3桁のセキュリティコードであれば、最悪でも1000回試せば使えてしまうことになります。

クレジットカード保有者全員が被害者になる可能性

この問題の最も恐ろしいところは、”クレジットカードを持っている人は誰でも”被害者になる可能性があることです。

クレジットカードの番号は過去の漏えい事件等により、ダークウェブで普通に売買されています。しかし、カードの現物がない、パスワードがわからない、セキュリティコードがわからないことによって、簡単には悪用できない状態にありました。

しかし、PayPayのシステムでは、セキュリティコードがバレているも同然なので、ダークウェブに流出しているクレジット番号が悪用可能になってしまったのです。これではクレジットカードへの信頼を根幹から損ないかねません。

金融システムの”基本”を知らないシステム

金融システムは、直接「お金」に絡むことですので、本来こんなシステムはあり得ません。金融システムをまともに作った経験があるなら常識的にあり得ない感覚でしょう。

金融システムには安全対策基準が設けられている

もちろん、業界自体も金融システムの安全性確保は認識しています。内閣府所管の「金融情報システムセンター(FISC)」という公益財団法人を作り、「金融機関等コンピュータシステムの安全対策基準」(以下、「安全対策基準」)を定めています。

金融機関”等”ですから、決済システムであるPayPayも当然守るべき基準でしょう。

PayPayは本来守るべき基準を守っていなかった

この「安全対策基準」の「基準番号-実16、不正アクセスの監視機能も設けること」には、下記の対策が必要としています。

連続した何回かのアクセス失敗に対しては、強制終了・取引禁止等を行う機能を設けること

つまり今回の事件は、そもそも金融機関等が守るべき基準を守っていないから起きた、ということなのです。

お金を扱う意識の無い者がシステムを作ってはいけない

暗号資産(仮想通貨)取引でも、多くの取引所が行政処分を受けました。「システム的にできる」ことと「安全にできる」ことの間には、天と地の差があります。

“便利”や”儲かる”の名のもとに、お金に係る多くのシステムが乱立していますが、今回のように、金融システムの基本すら守らない(知らない?)システム屋が気軽に作ってしまうことにより、日本の通貨の信頼が揺らいで行きます。

金融システムにおいて、ネット上を動いているものは、単なる「データ」ではなく「お金」です。現金輸送をする感覚で、安全なシステムを作らなければいけません。単なるデータを動かしている感覚でシステムを作っているから、このような事態が起きるのでしょう。だからこそ、今回の問題を、なあなあで済ませてしまうと、日本社会の根幹を揺らがせかねないと心配するのです。

安全なキャッシュレス社会のために

誤解の無いように書いておきますが、私はキャッシュレス社会を目指すこと自体は大賛成です。キャッシュレス社会は、実現すれば社会の効率化に貢献できます。是非ともシフトして行くべきです。

ただ、日本は世界的にもみても現金の信用度が高い国です。偽札を作ってもすぐバレる状態でした。現金に信用がない国であれば、キャッシュレス化してもあまり抵抗はありません。しかし、現金の信用度が高い国では、同水準の信頼がネット決済になければ、なかなかシフトしようとは思いません。

利便性の前に信用第一。それが通貨の基本です。せめて、仮にも決済システムに参入しようとするサービスならば、「安全対策基準」の内容はクリアできるようにしていただきたいものです。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。