流出したクレジットカード番号 PayPay経由で使われる懸念

2018年12月18日 09:35

印刷

記事提供元:スラド

 「20%還元キャンペーン」が話題になったキャッシュレス決済サービスPayPayだが、第三者が不正に入手した他人のクレジットカード番号をPayPayに紐付けて不正利用するという被害が出ているという(情報科学屋さんを目指す人のメモITmedia)。

 PayPayアプリでのクレジットカードの登録時にはカード番号および有効期限、セキュリティコードの登録が必要となるが、セキュリティコードを間違えてもロックなどの対応が行われないため、総当たり的な攻撃で不正に登録ができてしまう可能性があるとの指摘がある。あるAnonymous Coward曰く、

 セキュリティコードを何度間違えてもロックがかからないということは、カード番号も自動生成で総当たりできるということ。例えばvisaならば前6桁は発行元により固定で、生成するカード番号は残り9桁となる(残り1桁はチェックディジット。ロック機構が無ければこれも無意味)。つまり9×60(有効期限5年×12)×999の約53万回、チェックディジットを含めても530万回の試行で他人のカードが登録できてしまう。

 PCや今のスマホでも一日あれば突破できてしまうが、これからどうなるのだろうか。

 スラドのコメントを読む | セキュリティセクション | セキュリティ | お金

 関連ストーリー:
キャッシュレス決済サービスPayPay、「20%還元キャンペーン」開始で利用者が集中し不具合が発生 2018年12月06日
ICチップ搭載クレカでも不正利用は止められない 2018年11月14日
無料のスマホゲームを利用して盗難クレジットカードでの資金洗浄が行われていた 2018年07月23日
三井住友カード、パスコードを入力しないと使えないクレジットカードを発表 2018年01月10日

※この記事はスラドから提供を受けて配信しています。

関連キーワード

関連記事