被害を公表したのは、アプリ開発企業アプリス(東京都豊島区)のXアカウント。同アカウントの管理者は、PayPay残高が1万円だったにもかかわらず、PC上に表示されたQRコードを読み取っただけで銀行口座から入金され、合計73万円が使われる被害に遭ったという。管理者は6月18日にnoteで詳しい経緯を公開。noteには3000件以上のいいねが付いた他、X上で「怖すぎ」と反響が集まっている。
noteの記事によれば、同アカウントの管理者は18日、「PayPayカード」をかたる請求メールを受信。文面やデザインはPayPay公式を装ったもので、記載されたリンクを開くと、PC画面に2つのQRコードが表示され、PayPayアプリで順にスキャンするよう促されたという。
指示に従ってQRコードを読み取ったところ、アプリ上には特に確認表示もないまま、銀行口座から6~10万円ずつの出金が複数回実行され、PayPayの残高にチャージされた。直後、Appliss公式アカウントの管理者が操作していないにもかかわらず、競輪・オートレースの投票券を購入できるサービス「WINTICKET」への支払いが相次いで行われ、合計73万円を勝手に使われたという。
オートチャージ機能はオフにしていたものの、チャージと支払いは止まらなかった。すぐに銀行口座の連携を解除したが、ほぼ全額が使われた後だったという。
手口の再現、「簡単すぎ」?
Applissの投稿を受けて、実際に同じ手口が実行できるか検証した人物も登場。XユーザーのJ416DYさんは19日に「PayPayのフィッシングが簡単すぎた話」と題し、実際にWINTICKETとPayPayを使った検証結果をまとめたnoteを公開した。
WINTICKETはPayPayからの入金に対応している。J416DYさんは、WINTICKETのアカウントを作成し、連携用のQRコード2つを発行。それぞれをPayPayアプリで読み取ることで両アカウントが連携できることを確認した。さらに、WINTICKET上で支払い手段としてPayPayを選択すると、PayPay経由で残高にチャージできることも確かめた。
残高が不足している場合でも「チャージして支払う」を選択すれば、銀行口座からの引き落としが実行される。そのためオートチャージ設定の有無にかかわらず、残高が引き出せたという。
J416DYさんは、犯人があらかじめ本人確認済みのWINTICKETアカウントと出金用口座を用意し、フィッシングサイトを通じて他人のPayPayアカウントと連携させ、WINTICKETに残高をチャージした後、賭け金が返ってきやすそうな競輪・オートレースに投票し、払戻金を受け取る形で現金化していた可能性を指摘。QRコードを読み取るだけで連携が完了し、サービス名も連携完了後にしか表示されないといったPayPayの仕様に、セキュリティ上の問題があると警鐘を鳴らした。
さらにJ416DYさんはITmedia NEWSの取材に対し、スターバックスのプリペイドカードや楽天競馬でも同様の連携挙動を確認したとして、「特に類似サービスの楽天競馬では、同様の被害が発生するおそれがある」との見解を示した。
WINTICKETを運営するサイバーエージェントは19日、Webブラウザ版でのPayPay連携機能を一時停止。利用者の保護と被害拡大防止を目的に、メンテナンスを実施しているという。
PayPay社も翌20日に「PayPayカードを騙るフィッシングメールにご注意ください」と注意喚起し、その中で「他社サービスとの連携による不正な支払いが確認された」と明らかにした。あわせて「PayPayならびにPayPayカードでは、アカウント連携やお支払い、送金・譲渡などのQRコードをメールで送ることはない」とし、フィッシングメールへの警戒を呼びかけている。
PayPay社の対策状況は?
ITmedia NEWSがPayPay社に対し、事態への対処について聞いたところ、同社は今回の事案を18日に把握し、対応を開始したと回答。被害件数や総額は現在も確認中としている。
同社は2つのQRコードを使った連携方式について、2つ目のコードの表示時間を10秒程度に制限するなど、一定の安全性を確保する仕組みも取り入れていたとしている。しかし、今回突破されたことを受け、QRコードを用いた認証方式は廃止。WINTICKETとの新規連携も停止したという。
今後は、同様の連携方式に関するモニタリング体制を強化。AIと専門スタッフによる監視を組み合わせ、不正が疑われる場合にはアカウント停止を含む対応を行っていくという。
被害を受けたユーザーに対しては「第三者による被害であると確認された場合、PayPayが用意する補償制度の対象となる」としており、申請フォームからの申告を呼びかけている。必要に応じて警察や関係機関との連携も図っていく方針だ。
J416DYさんによるスターバックスのプリペイドカードや楽天競馬でも同様の問題が発生する可能性の指摘については「両サービスにおけるPayPayとの連携仕様は把握していない」とした上で「現時点で同様の被害は起きておらず、セキュリティ対策の見直しにより、今後も発生しない設計になっている」と回答した。
またサイバーエージェントも、社内での不正利用モニタリングを強化すると共に、「不正利用が確認された場合は、該当の利用アカウントに対し、速やかに凍結の対応を取る」とコメントした。
なお、アプリスのXアカウント管理者は6月20日、noteの記事に追記し、再びPayPayを装ったフィッシングメールを受信したと明らかに。今回はWINTICKETとの連携ではなく、単純な支払用QRコードを表示し、それを通じて支払いを促すものだったが「QRコードをスキャンするだけでお金を奪われるリスクは、今も残っている」と警鐘を鳴らしている。
===================================================
【小野達也(たっちゃん)LINE@】友達募集中!
★スマホの方は、こちらをワンクリックすると、LINE@に無料で登録できて、僕のLINEに直接メッセージを送ることができます。
→https://line.me/R/ti/p/%40uts1493m
★LINE ID検索してLINEに友達追加する場合は、こちらのIDで検索してください。
→@uts1493m
この記事へのコメント