利用者が急増するQRコード決済サービス「PayPay（ペイペイ）」で、クレジットカード登録に不安を抱く声が挙がっています。また、大手ネット通販でも、誤ったセキュリティコードでカード認証が通るとのこと。クレジットカードのセキュリティコードが信頼できない事態とは、はたして……!?

◆「PayPay」のクレジットカード登録に黄信号？

各社のさまざまなキャンペーンで急速に利用者数を増やしている、バーコード＆QRコード決済サービス。が、利用者の急増とともに、利用上の注意点もクローズアップされてきました。

そのひとつが、クレジットカード決済を利用した場合の不正利用被害。代表的なQRコード決済「PayPay」を例に、どのような問題なのかを見ていきます。

PayPayにはクレジットカードを登録し、現金をチャージしなくてもカードで決済できる便利機能があります。

利用者から問題視されているのは当初、カードの登録時、カード番号・有効期限・セキュリティコードを何度間違えても支障がなかったこと。「クレジットカードの登録に失敗しました」というメッセージこそ出るものの、いくらでもやり直せたのです。

つまり、悪意を持って、カード所有者になりすますことが不可能ではないわけです。

勘違いされがちですが、PayPayに登録できるVISA、MasterCard、Yahoo!JAPANカードを所有されている方は、誰でも被害に遭う可能性があります。さらに、

・「PayPay」を利用しているかどうかは無関係
・「PayPay」にクレジットカード登録をしているかどうかも無関係

ということだったので、不正利用の被害が拡大してしまったと考えられます。

ただし、この記事を書いている時点では、PayPayは本人認証サービス（3Dセキュア）を導入したほか、

・本人認証されたカードでの支払い上限金額：過去24時間で2万円、過去30日間で5万円
・本人認証がされていないカードでの上限金額：過去24時間および過去30日間で5000円
（※2019年2月12日時点。今後変更の可能性もありますので、詳細は公式サイトをご覧ください。）

と規約が変更されています。これらは不正利用やなりすまし防止のために行われた処置です。

◆間違ったセキュリティコードでもクレカ決済OK!?

現在のPayPayでは、クレジットカードを登録する際、必要な項目を入力するとクレジットカード会社の認証ページへ切り替わり、本人確認のためのパスワード入力が必要となっています。

もし、以前のような仕様であれば、セキュリティコードのランダム生成・入力を繰り返せば、いずれは一致します。“なりすまし”の危険性を否定できないわけです。

こうしたセキュリティ批判が各方面に波及し、メジャーなネット通販「ヨドバシ・ドットコム」にまで火の粉が飛ぶ事態に……。

同サイトではショッピングの際、クレジットカードのセキュリティコード入力を間違っても決済できてしまう、という声がネット上でも話題になりました。

ただし、ヨドバシ・ドットコムでは、ほかの属性（非公開）で本人確認（多要素認証）を行っているため、間違ったセキュリティコードでも問題ないとのこと（※ユーザーが入力する以外の属性でも本人認証を行えるシステムを導入している模様）。それだけ厳しいチェック体制ができているからこそ、なのでしょう。

セキュリティコードはクレジットカードの裏面に記載されていますから、たしかにセキュリティ効果が高いとはいえません。セキュリティコード入力を求められない大手通販サイトも、少なくないはずです。

でも、それならセキュリティコードは何のために必要？　という疑問が…。「セキュリティコードがあるから二重に安心」といった盲目的な信頼が正しくないことは、覚えておいた方がいいかもしれませんね。

※記事内容は2019年2月現在の情報を基に作成。