一度も使ったことのないペイディから認証コードの ショートメッセージが届いた

謎のショートメッセージ

先日、スマホにショートメッセージ (SMS) が届きました。文面は以下の通り。

Paidy決済認証番号: xxxx をPaidy(ペイディー)の画面に入力すると、こちらの電話番号で決済手続きがおこなわれます。

xxxx は実際は4桁の数字です。ペイディなんて見たことも使ったこともないので当然スルーに決定。でもちょっと気になることがあったので調べてみました。

以下いろいろ書きますが、勘違いのないように先に結論を書いておきます。同様のメッセージを受け取った方は、実際にペイディを使ったのでない限り一切無視してください。メッセージに埋め込まれた認証番号は絶対に他の人に知られないようにしてください。スクショ撮ってそのまま SNS に上げるのもナシです (結構やりがち)。Paidy 側からも下記のような注意が出されています。

ご自身でお支払いを行っていない場合や、MyPaidyまたはアプリへのログインを行っていないにも関わらずSMSを受信した場合は、すみやかに削除いただき、下記にご注意ください。

* 認証コードを他人に教えない

* スクリーンショットをSNSなどに投稿しない

* 個人情報を入力しない

【ご注意ください】ペイディを利用していないのに認証コードのSMSを受信された方

発信者の電話番号はペイディのカスタマーサポート

さて上のメッセージ。いろいろ違和感があります。サービス名のカタカナ表記が正規の「ペイディ」ではなく「ペイディー」になってるのは微妙に怪しい。一方で、フィッシングなら偽サイトに誘導するようなリンクがありそうなものなのに、それが見当たりません。発信者の電話番号も03始まりの固定電話だし…。

とりあえず発信者の番号を検索してみました。

電話帳ナビでの0355455667の検索結果

あら本物だ。とすると、詐欺師が送った偽メッセージではなく正規のペイディカスタマーサポートから発信されたメッセージである、という可能性が浮上します。リンクへの誘導がないのもそうだとすれば納得できます。まあカタカナ表記の問題は残りますし SMS 発信者偽装という手口もないわけではないらしいので、絶対とは言えませんが…。

ペイディの仕組み

そもそもペイディって何でしょう?

あと払いペイディとは

AmazonやQoo10など70万店舗以上のお店で、メールアドレスと携帯番号だけでお買い物ができます。お支払いは翌月でOK。

あと払いペイディ

カード等を用いないあと払い決済システムのようですね。

使い方は以下の通りだそうです (あと払いペイディ のサイトより)。

  1. ショップのお支払い方法で「あと払い(ペイディ)」を選択して、メアドと携帯番号を入力。
  2. SMSで送信される4桁の認証コードを入力してお買い物完了。
  3. 翌月1日~3日の間にメールとSMSでご請求金額をお知らせ。
  4. 翌月10日までに、コンビニ払い、銀行振込、口座振替でお支払いください。

えらく簡単そうですが、説明を読むだけではわからない面もあるので実際に体験してみました。ちょうど欲しい本があったのでアマゾンで購入することにして、支払いに Paidy を指定してみます。詳しい手順は省きますが、確かに氏名、メールアドレス、電話番号を入力して請求先住所を選択したら SMS で認証コードが届きました。最初に届いたものと文面は違いますが発信元の電話番号は同じでした。

Paidy認証コード: xxxx
AmazonのPaidyアカウント登録画面に入力し、決済方法としての登録手続きを進めてください。

認証コードを入力したら決済方法に「あと払い(ペイディ)」が加わり、それで本が買えました。

確かに便利です。ただとてもカジュアルにあと払いができて、それ自体ちょっと心配になります。が、今日のところはそこは置いておきます。

何であんなメッセージが来たの?セキュリティ的にどうなの?

という訳で、謎のメッセージが届いた原因を推測してみます。

  1. 誰かが決済時に電話番号を間違えて入力した
    誰も悪意はなく単純なミスであるケース。間違えた人には認証番号が届かないので決済は成立せず、その人はやり直しているはずです。
  2. 誰かが勝手に私の電話番号を入力して決済しようとした
    明らかに悪意のあるケース。決済が成立するためには私のところに届いた認証番号を入力する必要があります。起き得るケースとしては、例えば私が認証番号を含む画面のスクショを SNS で共有して犯人がそれを見つける、というようなものが考えられます。見つけられるのかと言えば、簡単ではないが不可能でもない、ということになるでしょうか。そしてもし決済が成立したら、私の電話番号にひも付いた支払情報がペイディに登録されます。その後どうなるのかはわかりませんが、まあ厄介なことになるとは想像されます。

実際のところ、アマゾンで決済してみた限りでは2のようなケースを実現するのは結構難しそうな気もします。また Paidy の安全への取り組み を読むと、本人確認の強化など相応のセキュリティ対策を講じてもいるようです (アマゾンでは本人確認書類等は要求されていませんが、それは既に本人確認のなされたアマゾンのアカウントにひも付いているからでしょう)。とはいえ実際に謎の SMS が届いたことまでは事実ですし、我々の想像のつかないところを突いて来る悪意の人がいることは想定しなければいけないと思います。

という訳で結論

最初に述べたのペイディからの注意

  • 認証コードを他人に教えない
  • スクリーンショットをSNSなどに投稿しない
  • 個人情報を入力しない

を守り、自衛に努めるのが我々の取るべき行動かと思います。

その上であえて言いますが、やっぱりこの認証方法はどうなんだろう、という感想は抱きます。SMS への認証コード送付は二要素認証のひとつの要素として使うのが一般的で、これだけを単独で認証に使うという方法には若干の不安を感じるというのが正直なところです。

二要素認証については例えば下記の記事が参考になります。

コメントを残す

メールアドレスが公開されることはありません。