ニュース
» 2018年12月19日 17時30分 公開

セキュリティコード間違えたのにクレカ決済できるのはなぜ? ヨドバシECサイトに疑問の声 仕組みを広報に聞く

「ヨドバシ・ドット・コム」のクレジット決済で「セキュリティコード」を間違えても本人認証されてしまう事象に不安を覚える声が。認証の仕組みについてヨドバシカメラ広報部に取材しました。

[黒木 貴啓,ねとらぼ]

 決済サービス「PayPay」におけるクレジットカードの不正利用問題(関連記事)に関連して、大手家電量販店「ヨドバシカメラ」のオンラインショップ「ヨドバシ・ドット・コム」でクレジット決済をする際、「セキュリティコード」を間違えていても決済できてしまえるという報告がTwitterで注目を集めています。ヨドバシカメラ広報部に、クレジット決済の本人認証について取材しました。


 オンラインでクレジットカード決済する際は、利用者本人かどうか確認をするために「カード名義」「カード番号」「カード有効期限」に加え、主に裏面に記載されている3〜4桁の番号「セキュリティコード」の入力を求められることが一般的です。

ヨドバシカメラ クレジット セキュリティコード ヨドバシ・ドット・コム セキュリティコード記載例(JCBカード公式サイトより

 セキュリティコードはカードの磁気情報には含まれておらず、券面の印字を見ることでのみ確認できる情報。店頭で磁気情報を盗むスキミングや、無作為にカード番号を作り出すクレジットマスターなどの犯罪を防ぐため有効な手段とされています。多くのECサイトでは入力項目に設定しており、正しく入力されなかった場合不正利用と見なして決済を受け付けないところもあります。

 12月15日にPayPayが不当なクレジットカード請求に対する注意喚起を行いましたが、SNSではPayPayのクレジットカード登録について指摘が続出。PayPayではセキュリティコードの入力を間違えてもロックがかからないため、総当たりでセキュリティコードを探れる危険性があるのではないかと、脆弱性を疑う声があがっていました。

ヨドバシカメラ クレジット セキュリティコード ヨドバシ・ドット・コムヨドバシカメラ クレジット セキュリティコード ヨドバシ・ドット・コム PayPayのクレジットカード登録でセキュリティコードを間違ってもロックがかからない様子(関連記事

 「ヨドバシ・ドット・コム」でもクレジット決済時にセキュリティコードの入力を求めています。ところが今回の話題を受け、あるTwitterユーザーが同サイトで適当に「000」と入力してみたところ、クレジット決済が完了してしまったというツイートが話題に。それだけでなく過去にも、「ヨドバシ.comで購入する時セキュリティコード間違えたのに普通に発送されてるのはどういうこと」「ヨドバシで買い物。クレジットカードのセキュリティコード打ち間違ったっぽいけど通っちゃったぞ」など、同様の報告が少なくとも20件以上ツイートされていました。

ヨドバシカメラ クレジット セキュリティコード ヨドバシ・ドット・コム 話題となったツイートまとめ

 本人認証を強固にするために入力を求めているにもかかわらず、番号を間違えても決済できてしまうのはどういうことなのか。Twitterでは「セキュリティとは」「大丈夫なのか心配になる」「意味ねぇ」「セキュリティコードって結局何なんだったんだろうな」と不安や疑問の声が寄せられています。

 ヨドバシカメラ広報部に取材したところ、クレジット決済のセキュリティコードについて次のように説明しました。

 「弊社では確かにクレジット決済時にセキュリティコードをチェックしていますが、基本的に本人認証では『多要素認証』の形をとらせていただいております。一般論として、カード番号やセキュリティコードはいろいろな方法で手に入ることが可能で、手に入れた人物からアタックを受けるショッピングサイトはたくさんあります。そのため弊サイトのクレジット決済ではお客さまに入力いただく情報“以外”の属性で、正確に本人認証できる仕組みを作っております」

 「具体的にどのような属性で確認しているのかはセキュリティの問題で全てはお答えできませんが、一例としては入力されたクレジットカードが過去に正常に利用されてきたか履歴を確認したり、注文されている商品が不正利用されやすいものであれば精査したりなどです。さまざまな面から怪しいカードを検知し、バランスをとって決済処理をしています」

 「こうした中で弊サイトでは、セキュリティコードが間違っていても、他の属性でカード会社と本人利用の確認が取れれば決済できるようにしております。Twitterで指摘されているのも同様のケースではないでしょうか。セキュリティコードは暗証番号とは違って券面に書かれており、本人確認の上で必須条件ではないので、大手通販でも逆に求めていないところも少なくありません」

 「そもそも本人認証を出すか出さないかはクレジットカード会社の役目でありますが、加盟店であるヨドバシカメラでも事前に不正取引を排除していく取り組みを行う、2段構えのチェック体勢で対応しております。セキュリティコードの入力が間違っても決済が完了してしまい不安に覚えるお客さまもいらっしゃるかもしれませんが、お取引の安全性についてはきっちりと確認させていただきながら運営させていただいております」

 本人認証を強固にするためセキュリティコードを求めているが、他の属性でさらに正確な本人認証をしているので安全である、との説明でした。オンラインでクレジット決済する機会がますます増えるなか、おなじみのセキュリティコードに対する社の一つの見解として、頭に入れておくといいかもしれません。

黒木貴啓


Copyright © ITmedia, Inc. All Rights Reserved.

先月の総合アクセスTOP10

  1. 「訃報」「愛猫」「手風琴」って読める? 常用漢字表に掲載されている“難読漢字”
  2. Excel上で「ドラクエ3」を再現した勇者に「最大の変態」「控えめに言って天才」と称賛 一体どうやって?
  3. 「降板を言い渡されて……」 小林麻耶、「グッとラック!」でのいじめを“笑顔”で主張 事務所とも突然の契約終了
  4. オンラインクレーンゲーム「トレバ」、景品獲得されそうになると“スタッフが裏操作”していたと発覚 被害者と運営会社を取材
  5. 加藤紗里、カフェ店員の前でパンケーキをたたきつぶす 衝撃動画に「これは笑えない」「何がしたいのか分からない」
  6. 保護した子ネコに「寂しくないように」とあげたヌイグルミ お留守番後に見せた子ネコの姿に涙が出る
  7. 「落選が内定」と開き直る金爆に「不甲斐ない」とAKB、謝罪する演歌歌手も 紅白出場逃した歌手の嘆き
  8. タイツメーカーのアツギ、「タイツの日」PRイラストで炎上 絵師25人以上とコラボ 「性的搾取」など関連ワードがTwitterトレンド席巻
  9. 「とうとうその日が来た」 AKB48、紅白落選で衝撃 メンバーは“言い訳のできない現実”を受け止める
  10. Koki,&cocomi、若かりし父・木村拓哉とのラブラブショットで48歳バースデーを祝福 「いつまでもカッコイイ父上でいてください」