昨日、報道で他人名義のクレジットカードを使用してPayPayで買い物をした無職が無事逮捕されました。なぜこのような自体に起こったのか詳しく事実関係と考察と共に説明します。
サイバー犯罪対策課によると昨年の12月10日に東京都在住男性の名義クレジットカードをPayPayアプリに無断で登録し、家電量販店で大量に購入した疑いがあるということです。犯人は当日の防犯カメラに映っていたことが証拠となり逮捕に至った模様です。
まず、その悪用したクレジットカードですが、ダークウェブという Tor(トーア、The Onion Router) でしか入れないネット上の場所で、PayPayで使用出来るクレジットカードとして売られていたのが確認されています。そのクレジットカードリストは昨年流出したブリティッシュ・エアウェイズのサイトから流出したリストで今回のカード被害者が多数見受けられるとして流出元はここではないかと推測されています。
犯人は、その流出したクレジットカードを4つアカウントそれぞれに登録して家電量販店で1000万円相当額を購入。そして、売却をして金銭を着服したと考えられます。
PayPay側の発表によると第1弾では1%のチャージバック(不正利用)があったと発表しており、億単位になる不正額ですと4つだけのアカウントを持つ1人の犯行としては賄えない額ですので、複数犯、もしくは犯人が雇われたとの発言により詐欺グループとみて間違いないないと思われます。
セキュリティーの対策として、第2弾以降では3Dセキュア、本人証明されていないと上限が少なくなったりと対策は講じており、 1%から0.0004%まで不正が改善され、ほぼ安全だと断言出来るでしょう。
クレジットカード自体が旧式の番号だけによる管理のため、未だに年間300億円もの
被害額があり、被害があったら即カード再発行、補償ということしか出来ないため、クレジットカードは今後も継続して使われていくと思いますが、スマホ決済自体には番号など漏れる心配がなく、店員にも悪用されることがないため、今後はスマホ決済の安全性をアピールし広めていく必要があると思います。