novtanの日常

ネタです。ネタなんです。マジレスする人は撲滅すべき敵です。だからネタだってば!

Apple PayでのiD不正利用について考えてみた

Web IT

X以外であんまり情報が出回っておらず、そもそもフィッシングに引っかかった結果なのではないかと言う話ではあるんだけど、色々興味深い話があるので少しまとめてみました。

起点はイオンカードらしい。
事の背景におそらくあるのは。少し前からのイオンカードに対するフィッシング。
internet.watch.impress.co.jp

これは推測でしかないですが、これによってイオンカード保有者のアカウント情報が一定量流出していることが想定されます。

で、Apple Payに登録したiDで、という話。

僕はApple Pay使ってないので、仕組みを含めてよくわかってないんですが、手元のiPhoneで確認した所、Walletアプリに対してカードの情報を手動で入力し、オーソリできれば登録できそうなので、フィッシングに引っかかってセキュリティコードまで流出していれば、他人の端末で登録ができそうですね。カード情報入力の所、3D セキュアとかになってないんだろうか。ともあれ、カード情報がバッチリ流出していれば、他人のカードをApple Payに登録はできそう。まあ海の向こうで不正利用の話がたくさんあるので当然そうなんだろうね。

話が少し逸れますが、日本の既存の決済システムはクソ、Apple Payはよみたいな話も結構昔からありましたし、店にもQR決済対応しろって話もよくありましたし、これだけ一般的に広まってもまだアレがないからダメこれじゃなきゃダメみたいなユーザーがたくさんいるし、店側にも事情があるような話をしたらそんなことユーザーには関係ないって言い出したりするけど、流石にワガママが過ぎると思っていて、商取引なんて最終的には個人と個人の取引なわけであって、社会で保証することには限度があるんだよ。現金は盗まれるリスクが有る代りに決済手数料は取られないし、カードは一括払いなら利用者側(買う側)に手数料はかからないけど、お店にはかかってくる。なんとかPayで不正利用されたリスクはなんとかPayが頑張ってくれることもあるけどたいていお店かユーザーにも少なからず被害が行く。これをユーザーが一方的に「俺は悪くないから」と免責を求めるのはちょっとおかしい。決済システムに対するリスクは利用するユーザーにも負担があるのだ(約款とかに書いてあったりもする。企業イメージ勘案し保証してくれることもよくあるけど)。当然だけど、手数料が高くてユーザー負担が低い(保険みたいなもの)システムもあれば、手数料が安い代わりに保証が少ないシステムもあるよね、というのは当たり前の話だよね。
ただ、いずれにしても、フィッシングに引っかかったら大抵のセキュリティ施策は台無しです。現代において絶対に守るべきなのはフィッシングに引っかからないことですよ。Xとかで個別のセキュリティ系の被害報告をしていて、心当たりがないって言っている人っておそらく9割以上フィッシングに(気づいてないのも含め)引っかかってる。もちろん、カード情報流出事件の結果の被害とかは別ですが。

話を戻すと、今回話題になっているのは、不正にカードを使われているのがわかってカードを利用停止しても、iDとQUICPayが使えてしまう、という話らしい。なんでこんなことが起きるかと言うと、iDとQUICPayは基本的には登録したカードの情報で決済するわけですが、これで決済するためのいわゆる与信枠を事前に確保し、IC側に枠を保存しているようです(これが3万円分ある)。なので、その枠を消費し切るまではセンターとの通信などしないでも決済可能ということらしい。逆に言うと、これらの最大の被害額はこの3万円という与信枠だけです(もちろん、解約前に使われたものは別)。うーん、これ利便性と引き換えにしたときに受忍限度を超えていますか?個人的には微妙だけど。
つまり、iDやQUICPayを3万オートチャージされる交通系電子マネーと置き換えると分かりやすいよね。本質的には電子マネーであってクレカ決済ではないのよ(QUICPay+のデビット型は常にオンライン決済だから違うけど)。だからチャージ済みの金額は不正に登録されて枠を確保済みだと止めるすべがない。

という現実に対してもう一つの課題はじゃあ不正利用された分を誰が弁済するのって話ですよね。本件トリガーに利用を一時停止しているお店があるということは、おそらくお店が被る雰囲気があるけど、これ個人的には責任があるのは、事が起きるのがほぼフィッシングの結果なのでユーザー側なんじゃないかと思わなくもないです(あるいは、カード登録時のセキュリティが甘いのであれば、カード会社側)。繰り返しになるけどカード情報流出事件トリガーの場合は流出させた企業とカード会社でなんとかせい、だからね。

ユーザーからすると、俺はApple Payなんて使ってないから純然たる被害者、みたいな人もいると思いますけど、カード情報流出無しには起きないだろうし、はてさて。

それとは別に、この話をトリガーとしてなのかわからないけどカードのタッチ決済を止めた店があってこっちじゃねーよみたいな話になってたけど、本当の所どうなのだろうか。例えば、この件は正直事実がよくわからないけど…
news.yahoo.co.jp

カードを止めたのは5月1日なのに、今でも毎日1万円程使用されており、13回使われています。

だとしたら、iDとQUICPayの与信枠の話ではない(3万より増えることは多分ないはず)ので、ちょっと話がおかしくなります。
なんでもりそな銀行がクレカタッチ決済を止めている、という話も聞こえてきているので、別の事象が並行して動いている可能性があります。
(そういう可能性を考えずにクレカタッチじゃなくてiDのほうだろアホか、みたいなことを言っている人が結構いるので確かにそういう推測はし易いとは思うけど決めつけで誰かをバカ呼ばわりするのはやめたほうがいいんじゃないかなーて思います。バカ呼ばわりするのは事実が出てきてからでいいんじゃね?なんで不確定な状況で噴き上がるのかわからんわ)

いずれにしても長年決済を見てきている側からすると、利便性と引き換えに脆弱なシステムを求めるユーザーという構図は昔から変わらんなーと思うし、ユーザーに寄り添うという名の社会へのコスト転嫁をするデバイス側もクソだなってのも変わらんのだけどね。簡単な話だけど、不正利用のコストをユーザーが負担することが確定的ならみんな利便性にどんどん倒していくと思うよ。そうならないのはユーザーが文句言うに決まっているし、社会的にも責任を求められるのに決まっているからなんだけど、それでもみんな一生懸命利便性と引き換えに脆弱になったシステムを求めたがる。トレードオフが大きすぎてなぜそうなってしまうのか僕には理解不能なんだけどね。