SNS で PayPay による不正利用が騒がれていた。

PayPayには「名前入力欄がない」・「入力回数制限がない」といったセキュリティが二の次になっているところがある。

名前に関してはブルートフォースアタックで探し出すのは非常に難しい。 しかも、難しい名前の場合は基本的に当たらない。 その要素を排除してしまったことは大きな問題だ。 ただの数字だけだと簡単にバレる。 0-9の10通りしかない。 セキュリティコードはたった1000通り。 クレジットカードは12桁なので1000000000000通り。 有効期限は多めに5年くらいで交換になることを考えて60通り。 これをかけ合わせた通りを突破するだけでいい 人が手作業でやると時間がかかるが、機械的にやれば簡単に突破できる。

ブルートフォースアタックの対処法はパスワードの管理方法がメインとなるが、クレジットカードのような識別子が固定されているものの場合は、回数制限を設けるくらいしか対処法がない。今回はそれが実施されていないことが問題であるとされている。

3DセキュアやSMS認証、アプリ認証等の多要素認証がもっと盛んに利用されて悪質な行為に立ち向かう必要がある。

大変だ。