セキュリティコード間違えたのにクレカ決済できるのはなぜ? ヨドバシECサイトに疑問の声 仕組みを広報に聞く
「ヨドバシ・ドット・コム」のクレジット決済で「セキュリティコード」を間違えても本人認証されてしまう事象に不安を覚える声が。認証の仕組みについてヨドバシカメラ広報部に取材しました。
決済サービス「PayPay」におけるクレジットカードの不正利用問題(関連記事)に関連して、大手家電量販店「ヨドバシカメラ」のオンラインショップ「ヨドバシ・ドット・コム」でクレジット決済をする際、「セキュリティコード」を間違えていても決済できてしまえるという報告がTwitterで注目を集めています。ヨドバシカメラ広報部に、クレジット決済の本人認証について取材しました。
オンラインでクレジットカード決済する際は、利用者本人かどうか確認をするために「カード名義」「カード番号」「カード有効期限」に加え、主に裏面に記載されている3〜4桁の番号「セキュリティコード」の入力を求められることが一般的です。
セキュリティコードはカードの磁気情報には含まれておらず、券面の印字を見ることでのみ確認できる情報。店頭で磁気情報を盗むスキミングや、無作為にカード番号を作り出すクレジットマスターなどの犯罪を防ぐため有効な手段とされています。多くのECサイトでは入力項目に設定しており、正しく入力されなかった場合不正利用と見なして決済を受け付けないところもあります。
12月15日にPayPayが不当なクレジットカード請求に対する注意喚起を行いましたが、SNSではPayPayのクレジットカード登録について指摘が続出。PayPayではセキュリティコードの入力を間違えてもロックがかからないため、総当たりでセキュリティコードを探れる危険性があるのではないかと、脆弱性を疑う声があがっていました。
「ヨドバシ・ドット・コム」でもクレジット決済時にセキュリティコードの入力を求めています。ところが今回の話題を受け、あるTwitterユーザーが同サイトで適当に「000」と入力してみたところ、クレジット決済が完了してしまったというツイートが話題に。それだけでなく過去にも、「ヨドバシ.comで購入する時セキュリティコード間違えたのに普通に発送されてるのはどういうこと」「ヨドバシで買い物。クレジットカードのセキュリティコード打ち間違ったっぽいけど通っちゃったぞ」など、同様の報告が少なくとも20件以上ツイートされていました。
本人認証を強固にするために入力を求めているにもかかわらず、番号を間違えても決済できてしまうのはどういうことなのか。Twitterでは「セキュリティとは」「大丈夫なのか心配になる」「意味ねぇ」「セキュリティコードって結局何なんだったんだろうな」と不安や疑問の声が寄せられています。
ヨドバシカメラ広報部に取材したところ、クレジット決済のセキュリティコードについて次のように説明しました。
「弊社では確かにクレジット決済時にセキュリティコードをチェックしていますが、基本的に本人認証では『多要素認証』の形をとらせていただいております。一般論として、カード番号やセキュリティコードはいろいろな方法で手に入ることが可能で、手に入れた人物からアタックを受けるショッピングサイトはたくさんあります。そのため弊サイトのクレジット決済ではお客さまに入力いただく情報“以外”の属性で、正確に本人認証できる仕組みを作っております」
「具体的にどのような属性で確認しているのかはセキュリティの問題で全てはお答えできませんが、一例としては入力されたクレジットカードが過去に正常に利用されてきたか履歴を確認したり、注文されている商品が不正利用されやすいものであれば精査したりなどです。さまざまな面から怪しいカードを検知し、バランスをとって決済処理をしています」
「こうした中で弊サイトでは、セキュリティコードが間違っていても、他の属性でカード会社と本人利用の確認が取れれば決済できるようにしております。Twitterで指摘されているのも同様のケースではないでしょうか。セキュリティコードは暗証番号とは違って券面に書かれており、本人確認の上で必須条件ではないので、大手通販でも逆に求めていないところも少なくありません」
「そもそも本人認証を出すか出さないかはクレジットカード会社の役目でありますが、加盟店であるヨドバシカメラでも事前に不正取引を排除していく取り組みを行う、2段構えのチェック体勢で対応しております。セキュリティコードの入力が間違っても決済が完了してしまい不安に覚えるお客さまもいらっしゃるかもしれませんが、お取引の安全性についてはきっちりと確認させていただきながら運営させていただいております」
本人認証を強固にするためセキュリティコードを求めているが、他の属性でさらに正確な本人認証をしているので安全である、との説明でした。オンラインでクレジット決済する機会がますます増えるなか、おなじみのセキュリティコードに対する社の一つの見解として、頭に入れておくといいかもしれません。
(黒木貴啓)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
クレカの使用履歴はマメに確認を! 怠っていたばかりに不正使用でじわじわ損害を被った体験談が恐ろしい
盗難・紛失保険の適用期間は届け出から60日前まで。不正使用の発見が遅れると補償を受けられない場合があります。
コミケでクレカ・電子マネー・QR決済に対応 「電子決済を極めまくったサークル」に話を聞いた
うわさのクレジットカード研究サークル「湊町メディアシステム」を取材しました。
どうしてもスマホゲー課金が止まらない! 「意志の力」では課金をやめられない人のためのライフハック
「意志の力で課金をやめる」ではなく、「課金ができなくなる」仕組み作りを。
クレジットカード決済、「○円以上のみ」や「ランチは使用不可」はNG! “加盟店契約”違反のお店への対策は?
わざとじゃないのかもしれないけど、ダメなものはダメ!
PayPay「利用した覚えのないクレジットカード請求」に注意喚起 クレカの登録方法に問題があるとの指摘も
一度レシート画面を確認してみましょう。