PayPayクレジットカード悪用問題から考える、金融システムが守るべき安全対策基準とは

PayPayで起きたクレジットカード悪用問題。まだ他人事と感じている方も多いようですが、キャッシュレス社会構築を目指す日本においては、根幹を揺るがしかねない事態です。今回はこの件について考察していきたいと思います。

PayPayでなぜクレジットカード悪用ができたのか

まずは、今回の問題がどのようなものかを押さえておきます。

内容としては、所謂"なりすまし"でクレジットカードを悪用するものです。これだけであれば、今までにもありました。今回最大の問題は「クレジットカードの"番号だけ"で悪用が可能になった」というところです。

"本人が使用しているか"の確認が不十分だった

クレジットカードの利用にはクレジットカード番号が必要です。これは当然ですね。しかし、これだけだと番号がわかれば誰でも使えてしまいますので、使用の際は"本人が使おうとしているのか"を確認するために、「パスワード」や「セキュリティコード(カード裏面の番号)」の使用、或いは「サイン」をする必要があります。

PayPayのシステムでは、このセキュリティコードの入力が、"何回でも試すことができる"仕様となっていました。つまり、3桁のセキュリティコードであれば、最悪でも1000回試せば使えてしまうことになります。

クレジットカード保有者全員が被害者になる可能性

この問題の最も恐ろしいところは、"クレジットカードを持っている人は誰でも"被害者になる可能性があることです。

クレジットカードの番号は過去の漏えい事件等により、ダークウェブで普通に売買されています。しかし、カードの現物がない、パスワードがわからない、セキュリティコードがわからないことによって、簡単には悪用できない状態にありました。

しかし、PayPayのシステムでは、セキュリティコードがバレているも同然なので、ダークウェブに流出しているクレジット番号が悪用可能になってしまったのです。これではクレジットカードへの信頼を根幹から損ないかねません。

金融システムの"基本"を知らないシステム

金融システムは、直接「お金」に絡むことですので、本来こんなシステムはあり得ません。金融システムをまともに作った経験があるなら常識的にあり得ない感覚でしょう。

金融システムには安全対策基準が設けられている

もちろん、業界自体も金融システムの安全性確保は認識しています。内閣府所管の「金融情報システムセンター(FISC)」という公益財団法人を作り、「金融機関等コンピュータシステムの安全対策基準」(以下、「安全対策基準」)を定めています。

金融機関"等"ですから、決済システムであるPayPayも当然守るべき基準でしょう。

PayPayは本来守るべき基準を守っていなかった

この「安全対策基準」の「基準番号-実16、不正アクセスの監視機能も設けること」には、下記の対策が必要としています。

連続した何回かのアクセス失敗に対しては、強制終了・取引禁止等を行う機能を設けること

つまり今回の事件は、そもそも金融機関等が守るべき基準を守っていないから起きた、ということなのです。

お金を扱う意識の無い者がシステムを作ってはいけない

暗号資産(仮想通貨)取引でも、多くの取引所が行政処分を受けました。「システム的にできる」ことと「安全にできる」ことの間には、天と地の差があります。

"便利"や"儲かる"の名のもとに、お金に係る多くのシステムが乱立していますが、今回のように、金融システムの基本すら守らない(知らない?)システム屋が気軽に作ってしまうことにより、日本の通貨の信頼が揺らいで行きます。

金融システムにおいて、ネット上を動いているものは、単なる「データ」ではなく「お金」です。現金輸送をする感覚で、安全なシステムを作らなければいけません。単なるデータを動かしている感覚でシステムを作っているから、このような事態が起きるのでしょう。だからこそ、今回の問題を、なあなあで済ませてしまうと、日本社会の根幹を揺らがせかねないと心配するのです。

安全なキャッシュレス社会のために

誤解の無いように書いておきますが、私はキャッシュレス社会を目指すこと自体は大賛成です。キャッシュレス社会は、実現すれば社会の効率化に貢献できます。是非ともシフトして行くべきです。

ただ、日本は世界的にもみても現金の信用度が高い国です。偽札を作ってもすぐバレる状態でした。現金に信用がない国であれば、キャッシュレス化してもあまり抵抗はありません。しかし、現金の信用度が高い国では、同水準の信頼がネット決済になければ、なかなかシフトしようとは思いません。

利便性の前に信用第一。それが通貨の基本です。せめて、仮にも決済システムに参入しようとするサービスならば、「安全対策基準」の内容はクリアできるようにしていただきたいものです。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?