話題沸騰の「PayPay」
先日終了した総額100億円のキャッシュバックキャンペーンが話題を集めている「PayPay」。ニュースではじめて名前を聞いた人も多いことと思います。
来年3月末までを予定していたキャンペーン期間中、キャッシュバックが20%とか、会員ステータスによって当選確率が変わる全額キャッシュバックがあるとか、すごい大盤振る舞いで話題となり、ユーザーをどんどん獲得していた模様。
残念ながら、このキャンペーン、予定していた終了日を待たずに2018年12月13日、開始からわずか10日ほどで予定額に達してしまい終了となってしまいました。
なお、このキャンペーンの対象となるキャッシュバックは、2019年1月10日にPayPay残高に反映される予定です。

PayPayとは?
PayPayは、サービスソフトバンクとヤフーが出資して始めたスマートフォン専用の新しいキャッシュレス決済サービスです。
加盟店となる実店舗での決済と、オンラインでの決済の両方に対応し、ビックカメラやヤマダ電機などの大手家電店やモンテローザやワタミなどの飲食店グループ、コンビニではファミリーマート、その他タクシーや宿泊、HISなどの旅行代理店などなど、現在はまだ使える店舗も限られていますが、導入店舗の「初期導入費用」「決済手数料」「入金手数料」が無料ということで、店舗側にとって加盟しやすい条件が揃っているために今後も続々と店舗が増えていくことと思います。(決済手数料、実は当初3年間は無料で、そのあとは有料化するかもしれない、という点がミソなのですが・・)
キャッシュバック分の100億円をめぐっても、新規加盟店舗も増えることでしょう。

またオンラインのほうはスタートが遅れていますが、2019年2月以降、Yahooショッピングやヤフオク、LOHACOなどで順次利用可能になっていくということです、
ポイント還元率が高いことや、スマホアプリのダウンロードやアカウント登録も簡単。
しかも決済方法も、アプリに表示したバーコードやQRコードを店側に読み込ませるか、店舗に表示されたQRコードを読み込むだけという分かりやすさで、将来が楽しみなサービスです。
実は同様のサービスは中国ではすでに普及しています。せぐなべでもこちらの記事「中国旅行を便利に!中国の電子マネー「WeChat Pay」の使い方と注意点」でレポートしておりますので、ご参考ください。
PayPayの詳しいことはオフィシャルサイトをご覧いただければと思いますが、ここで取り上げるのは、このPayPayの認証セキュリティについてです。

PayPayの認証セキュリティ
まず大前提として、PayPayはスマホアプリによる決済なので、そのスマートフォン自体がロックされ、暗証番号や生体認証などで第三者利用が防がれている、ということが前提になります。
PayPayのアプリ起動時の本人認証は、デフォルトではオフになっており、アプリのメニューの「セキュリティ設定」でオンにすることで、電話番号+パスワード認証や、スマートフォンが持つ生体認証が設定されます。
ですので、スマートフォンにロックがかけられていない状態で、PayPayをインストール&アカウント設定して、そのままにしてあるスマホを紛失してしまうと、買い物され放題、という悲惨なことが起きてしまいかねません。
少なくともスマートフォンのロックはかけておくようにしましょう。

しかし、誰かのスマートフォンを手に入れてしまえば、ロックをすり抜けて、その人のPayPayアカウントを利用できてしまう方法があるのです・・・。

スマホとSIMカードの管理を厳重に!
PayPayのIDは携帯電話番号です。初期設定時には電話番号に紐づいたSMSにメッセージが届き、メッセージ内のURLをタップして登録しました。そして、「パスワードを忘れてしまった場合」のパスワード変更も、SMS経由で行われます。つまりSMSを受け取れればパスワード変更されてしまうのです。
パスロジでは、下記の実験をしてみました。

【実験に使用したスマホとSIMカード】
スマホ1:iPhoneSE(SIMフリー)iOS12.1
スマホ2:iPhone7+(SIMフリー)iOS12.1
・SIMカード:ソフトバンク

【実験手順】
1:スマホ1にSIMカードを挿した状態で、PayPayに登録
2:スマホ1にSMSメッセージが届き、URLをタップして登録完了
3:スマホ2にSIMカードを挿し替える
4:スマホ2でPayPayを起動
5:ログイン画面で「パスワードを忘れた場合」をタップ
6:携帯電話番号を入力し「送信する」をタップ
※携帯電話番号は「設定」内で確認可能
7:SMSメッセージが届くので、タップしてパスワード再設定画面へ
8:パスワードを再設定
9:PayPayに新しいパスワードでスマホ2からログイン
10:ログイン成功!

つまり、誰かのスマートフォンを手に入れて、SIMカードを抜いて、そのSIMカードに対応したスマートフォンを持っていれば、その人のPayPayアカウントを乗っ取ることができるということです!(AndroidスマホやSIMフリー端末ではなかった場合については未確認)
なお、これはPayPayに限ったことではなく、SMSメッセージで利用確認が行われるサービスでは発生する恐れがあります。

PayPayの2018年12月18日に行われた「Ver,1.4.1」へのアップデート後の時点では「プッシュ通知」をオンにしていても、他の端末からのログインや、パスワード変更のお知らせが通知されることはありませんでした。パスワード変更した人が任意でメールやメッセージを送ることはできますが、不正利用しようとしている人が送るわけはありませんよね。
そして、パスワードを変えた後でSIMカードをそっと戻されていたら、気づかないかもしれません。
スマートフォンの生体認証を設定していた場合でも、パスワード変更がされた後でアプリ起動した際の認証は生体認証で通過できてしまいます。(iOS 12.1のTouch IDでテスト済。他の生体認証機能では不明)これはつまり、パスワード変更されたことに気づきにくいということでもあります。ログアウトしていれば、再度パスワード入力が必要になるのですが、いちいちログアウトをして使う人はほとんどいないと思います。
ですので、スマートフォンを放置して、知らぬ間にSIMカードが奪われて、パスワードを変更されないように注意も必要です。とはいえ、身内の人に寝ている間に盗まれるのを防ぐのはなかなか困難です。もし起こった場合、PayPay公式サイトのFAQにあるように「ご家族様や知人のかたの利用の可能性についてご確認」することになるのですが・・・狼狽している状況でも、関係が壊れないような確認方法を心がけましょう。

余談ですが、SIMカードや指紋と比較して、パスワードを寝ている間に奪うのはかなり困難です。知識認証の強みはここにあります。ただし、パスワード情報が記憶内にしかないことが前提ですが。

自衛策のご提案
PayPayを使うということは、スマートフォンが財布になるということです。そして、クレジットカードを登録していたら、「クレジットカードが入った財布」ということです。財布を失くしたときと同様な対応が必要ということになります。
以下に、PayPayを不正利用をされないため、されてしまった時のための自衛策をまとめてみました。

・不正ログインを防ぐために
→単純な推測されやすいパスワードは設定しない

・スマホ・SIMカードを盗まれないように
→スマートフォンをできるだけ放置しない

・スマホを紛失してしまったら
→登録したクレジットカードの停止処理をする

・パスワード変更されたことに気づけるように
→できるだけログアウトする(便利さが失われるので厳しいですが・・・)
→同居人がいる人は寝る前にログアウト

・不正利用に気づくために
→クレジットカードの利用明細をこまめにチェックする

・不正利用された時の被害額を制限するために
→登録したクレジットカードに利用金額の上限を設定

・被害に遭ったことに気づいた時のために
→何をするべきか、どこに連絡すべきか確認しておく
→1月10日前後に何かあるかもと心の準備を

2019年1月10日に1回目のキャッシュバックが実施されます。不正利用者も当然そのことを知っています。
その時期のスマートフォンには「価値」が付与されていることを知っているということで「動機」が生まれます。
また、PayPayが普及すればするほど、その「価値」と「動機」も普及していくということです。

PayPayに限ったことではなく「お金」とITが絡んだサービスは今後普及していくことでしょう。今は使わない方も、いつかは使う時が来るかもしれません。その時には「ちゃんとリスクを知って、気を付けて使う」ようにしましょう。

<参考>
PayPay公式サイト

※当記事は、ITmedia NEWSに提供した記事「PayPayの不正利用、どう防ぐ? 狙われるのは“ポイント付与”の1月か」を改変して掲載しました。
クレジットカード登録時のロックアウト機能が未実装だった件については、Ver.1.4.1アップデートにて実装されたので、当記事では省略しました。