まとめの限定公開に「リンク限定」が追加されました。URLを伝えてまとめを共有しよう!
137
茂田カツノリ@IoTコンサル-CES2019出展→オレゴン→サンノゼ→東京→深圳 @shigezo
PayPayの「金額指定お金受け取り」QRって単純すぎて怖い。 https://qr.paypay.ne.jp/暗号化されたユーザID?session_id=セッションID&amount=金額 なので簡単に作れた。 ちなみにWeChat Payは wxp://f2f1gLFd0RG(中略)776AI8DQV0 と金額も含め暗号化されててる。普通はこうだよね。 pic.twitter.com/AHD6aNzbaF
 拡大
茂田カツノリ@IoTコンサル-CES2019出展→オレゴン→サンノゼ→東京→深圳 @shigezo
もちろんURL踏んでも金額が表示されて「支払」ボタンを押すという動作をしない限りはお金を取られる心配はない。でもさ、これ近々なんらかの詐欺サイト作られるよ。先に予言しとく。 もしそういうサイトができても、犯人は俺じゃないからねw。
劇場版姫寺まつこBe the one@バーチャルママ🍼 @hakgyoktrosicks
は?????????????ペイペイやばすぎ 社内にセキュリティの感情を持った人間0か?????????????
あい @ai_ciel
ねえペイペイほんと大丈夫なの?お金扱うんだよね???
Sierra三等兵(修士(情報工学)) @s_voltec
クレカの件はともかくこっちはアウトかな...
銀の戦車 🐾 stand by me @tsubuyakisc
ペイペイへのゼロデイアタックもどきになりそうね
一ノ瀬 いろは @ichinose_iroha
暗号化してあっても遅かれ早かれ暗号鍵が流出して同じ事になると思うよ。
どでぃ @DoDyitter
やはりpaypayめっちゃガバガバだな 俺は絶対使わないからな
藤井 太洋, Taiyo Fujii @t_trace
PayPayやるなあ。先行事業者をリサーチしていないのか。 twitter.com/shigezo/status…

リンク Togetter PayPayに関連する32件の人気まとめ 「PayPay」に関連する32件の画像・動画・ツイートやニュースのまとめをお届けします。PayPayに関連した人気のツイートまとめは「PayPayクレカ不正利用多発に「原因は登録認証のザルさでは」と疑う人々…公式が対応に関するお知らせをするも「身内を疑えというのか」と非難殺到」です。
リンク PayPay株式会社 53 users 17624 PayPay-QRコード・バーコードで支払うスマホアプリ PayPayは、スマホひとつでカンタン・おトクにお支払いができるアプリです。最短1分で登録完了!

コメント

柏木彰二 @GmailShoji 12月21日
QRコード読ませることでなんかセキュリティの強度アップされてる感があるよね、某イベントのチケットとか読んで見たら平文IDとか出てきて本気で大丈夫か心配したことある
dc42jk @dc42jk 12月21日
いまいちこれをどう詐欺に使うのかがわからない。QRコード読み取りなら相手に記入した金額を見せて支払いをするんだから、支払いをしたことは相手も確認できるから払う側が損することはないのでは?
hakojima @hakojima 12月21日
paypayがガバなの、元のシステムであるインドのpaytmがガバガバなのがたぶん諸悪の根源なんだよね。 なんでそこから持ってきたんだ
こねこのゆっきー @vicy 12月21日
手軽さとセキュリティは相反するのか
はぜ@むかうところなし @HAZE_ba 12月21日
まぁでもこれが暗号化されてても、アプリ使えば一発で生成できるわけで、他人のアカウントに払われる金額弄ってもあんまり使い道ない(金額表示されるし)よなーとは。 IDの暗号化が割れたらやばいけど流石に、、、流石に、、、、、
降間 冬コミ落選 @purimusu_ji 12月21日
そもそもセッションIDがURLにふくまれてるのがおかしい? https://qiita.com/hththt/items/07136ad74127999df271
緑川だむ @Dam_midorikawa 12月21日
実はpaypayはQRコード決済を永久のタブーにして存在の可能性から全て潰そうと言う意図でやってるのではないか
オルクリスト @kamitsukimaru 12月21日
金融庁、一刻も早くこのでたらめ電子マネーを業務停止処分にしろ!
Nisemono@MSNF @Fake_Otoko 12月21日
中国だと露店も電子マネー使うレベルで現金が信用されてないそうだが、逆に国内だと得体の知れない場所や相手とクレカと紐付いた決済するのが怖いってのは割とある気がする。
深月 慧🌤️謎のふりかけ民 @Key_Hukatuki 12月21日
プリンター一台で済むから良いと思うんだがな
あずいち@Canyon_Endurace @lovely_fishes 12月21日
GmailShoji 暗号化すらしていないラッピングしただけでも、それが「読めない」と、人はセキュリティが強化されたように思ってしまうのか。人の心理ってこわい・・・。
ayaqui@キュニコス派 @aya_qui 12月21日
どこかにあるQRコードを撮影する。金額が平文だと別の支払先で同じ金額のQRコードを容易に製作できる。それを元の場所に貼り付ける。
ayaqui@キュニコス派 @aya_qui 12月21日
ますますダメじゃないですか(笑)
ヒロセジロウ✏️ @denjiro13 12月21日
おとなしくSuicaか楽天Edyにしときなさい。だいたいカバーできる。現金、おめえはめんどいからダメだ
ざの人(togetter用垢) @zairo2016 12月21日
他の人にお金渡せるシステムがQRで出来るシステムなんだけど、残金が十分あるにもかかわらず、相方の端末にお金送れなかったんだよね。それと クレカで決済端末は その名前表記するシステム、レビューにはそれがないから危険って書いたのに、いまだにそれ修正しないんだよ? コレ直さないと やばいよ? クレカ名義確認もなしに誰だって他人名義でクレカ使えちゃうんだから。ソレが治らない限りはまだ不正は続くから、 VISA mCカード ヤフーJCBユーザーは当分クレカの明細をチェックする癖を忘れずに。
ざの人(togetter用垢) @zairo2016 12月21日
zairo2016 ちなみに LINEPAYは クレカの名義確認できる。 単純に店側は高額支払の場合、そのクレカの提示もしてもらい、そのクレカとアプリ半角ネームが一致の確認はできる仕組み。高額支払の場合でもクレカはたいてい顧客は持っていないとおかしいので、それなしでアプリだけでの高額支払の場合はうたがってかかったほうがいいし、高額買い物の場合のクレカの提示は義務付けした方がいい。
しむらさとし @shimurasatoshi 12月21日
PayPayではなく、別のサービス上でのことみたいですが、中国では詐欺事件はすでに起きてるらしいです(去年の記事ですが)>中国でQRコードを利用したローテクなハイテク詐欺事件が発生 - THE ZERO/ONE https://the01.jp/p0004905/
点面悪鬼百之助 @x743 12月21日
送金先コードはいくらでも作成可能なんだから詐欺サイトに使われるかどうかは詐欺師?次第でしょ
KPCG10 @KPCG10 12月21日
[c5769240] 例えば1万円の支払いQRコードを読むと次の文字列が得られる。https://qr.paypay.ne.jp/kg74hJlp?session_id=jxPfvn91&amount=10000 ←ここモロに「10000」円って書いてあるよ!末尾にゼロ足して10万円の決済ができちゃうよ! WeChat Payは wxp://f2f1gLFd0RGh85JHXam90fls776AI8DQV0 というどれか1文字でも書き換えたら決済不可能。
amema @amema2 12月21日
ペイペイとファーウェイを使ってる人と通信するだけで、使ってない人の情報も流されちゃうんだっけ?
ponponponp @tadano_nyanko 12月21日
んー?考えたけど詐欺には使えるかも知れないけど他は無いやろ。強いていえば仮想通貨のときにあったような各ブラウザ用のプラグインにQRコード書き換えられてみたいな事が発生しそうやけど本件とは関係ないしなぁ。コメントにある通り詐欺する奴はおるし現金でも変わらんよねぇって印象だわ。
セマフォ @NoMoreLivesOne 12月21日
毎度全URLを生成してないって事は、自分のIDを暗号化した文字列が解ってれば、QRコード生成する時に、そこだけ差し替えれば良いんでしょ? PayPayで払えますよー、って言われた時、誰に金が届くのか保証できないってことですわね。
ヘルヴォルト @hervort 12月21日
そう簡単に詐欺の手口が分かったら詐欺なんておきない
セマフォ @NoMoreLivesOne 12月21日
金額変更されちゃうよ、ってより、QRコードだけじゃ、誰に払っているのか、確認できないって事が怖い。 例えば、大手のECサイトがPayPay対応しますよー、って開発に携わった人がお金に困ってて、一定時間か、特定条件化だけ、ユーザIDを差し替えてしまうと、その人の所にお金が行く。登録情報をその組織名にしておけば、例え履歴情報を見られても、ユーザはECサイトに払ったと思うんじゃないかなぁ。 商品が届くまでお金を動かす時間があるし、色々やれそう!
NAZKA-U-KWS-44 @Chiether 12月21日
平文かどうか別として、そもそもQR決済の問題として「偽造QRコードの上貼り」ってのがありまして。 QRコードが「値札に貼り付ける」とかだと。別のQRコードに貼り直して安く済ませたり別の人に振り込んだりってのは以前から問題になっていますが。 対面限定でインスタントに発行して使う前提なら問題ないですね。QR決済する必要あんのか感ありますが。
katasan111 @karasan111 12月21日
金融庁に怒られるまで登録者の財布を犠牲にした大喜利は続くよ。次はSQLインジェクションかな?
堀石 廉 (石華工匠) @Holyithylene 12月21日
結局、「PayPayアプリを使わずに送金QRコードを作れます」って話をしてるだけ?なにかアプリ側の制限をすり抜けると詐欺師に嬉しいことがあるならともかく良く分らん……。session_id(という名前の何か)を発行してるならそれと金額を紐づけてサーバーで管理すればQRコードに入れる必要ないのでは、という気はするけど。
堀石 廉 (石華工匠) @Holyithylene 12月21日
まあ、セキュリティがらみを専門家が語るときには悪用を防ぐために核心部分をぼかして語ることはよくあるから、専門家の話だともっと重大なことが言及されてないだけという可能性はあるけど、そういう感じの人でもないしな……
べるへる @beru2007 12月21日
実名でコンサルの方のようなので名を賭して告発していらっしゃるのでしょうけど具体的にどんなことが懸念され得るのでしょうか? 御本人は詐欺サイトの可能性を示唆していらっしゃいますが…
E-コ(けいな) @a_fs 12月21日
商品の売り場に商品ごとのQRコードが事前に提示してある売り場で、QRコードをすり替えられてことに店員が気付かず売上が全部すり替えた犯人のところに!っていう事件すでに海外で起こってなかったっけ??
なんば @namba_1301 12月21日
QRコード決済を潰そうとしてるんじゃないの?QRコード決済自体が邪魔と考えてるならあり得る話
マシン語P @mashingoP 12月21日
QR決済が先進的な規格と思い込んでいる年寄り(会社役員)は冗談じゃなく多い。JCBのキャッシュレス決済を推進する立場の人間が「セキュリティを高めたQRコードを策定しよう」と言うくらいには。
セマフォ @NoMoreLivesOne 12月21日
[c5769684] だますまでの手軽さが違うよ、って事ですね。
堀石 廉 (石華工匠) @Holyithylene 12月21日
ところでこれ、ほんとに金額書き換えるとその金額で送金できるの?
gamon gamon @gamongamon3 12月21日
そもそもアプリを使えば好きな金額を支払わせるQRコードが作れるわけで、それがURL手入力→QRコード変換でできるようになってるからといって何がどう詐欺の可能性が増えるのかわからん
セマフォ @NoMoreLivesOne 12月21日
この実装仕様で防御しようとするなら、トークン取得のタイムスタンプとセッションIDと、ユーザIDと金額でマッチかけて、利用予定のデータだね、ってしないといかん気がするんだけど、そんなトランザクションを常に受ける設計にしているの?それよりスクランブルした文字列を当てた方が圧倒的にインフラコスト低いじゃん、って思うんだよね。そうすると、ガバガバなんじゃないの?これって思うわけだよ。
yoshiko @yosii_0609 12月21日
開発期間が半年だと社長がインタビューで言ってたのでこれから不備がでそう。
しょうちゃん @show__chan 12月21日
昔、Suicaもリーダライタあれば、直接出さなくても服越しなどで履歴見れるし、チャージしていたやつを盗めるという週刊誌記事がありました。
しょうちゃん @show__chan 12月21日
中国で起きたQRコードの詐欺は、QRコードを人間が見ただけで、本文がわからないことを利用したものなので(QRコードのすり替え)、QRコードの本文が平文かどうかはあんまり関係ないんだよな。 結局のところ、これで詐欺するのはQRコードの作成の容易さよりも、運営側から換金前に逃げ切れるかの容易さの方が重要。
古橋 @FuruhasiYuu 12月21日
セキュリティ的には平文そのまま使うと機械的にサーチされやすい、ぐらいかなあ。暗号化がまったく無意味なわけではないかと。ただ、詐欺利用されるかどうかは関係無いと思う。どっちにしろ出来るので。
こねこのゆっきー @vicy 12月21日
Fake_Otoko 現金の信頼が低すぎて、こんなんでもマシって事なのかもな
しょうちゃん @show__chan 12月21日
どっちかというと詐欺の問題よりもプライバシーの問題だと思う。
hakojima @hakojima 12月21日
man in the middle攻撃で表示上の決済額、送信先を書き換えて決済させる攻撃はアリじゃない?(たぶん暗号化してると思うけど。してるよね?)
nekodaisuke @nekodaisuke1 12月21日
海外じゃ現金のほうが信用がないけど、日本じゃクレジットのほうが信用がされないからな。そんくらい日本銀行券の偽造防止秘術は強い。なによりこんだけコンビニとATMにかこまれてて引き出しに不便さを感じない日本のインフラもあるしな。かりに現金やめろと言われたら、どっちにしろクレジットかフェリカで良いじゃんって話でQRコードはお呼びじゃない。
堀石 廉 (石華工匠) @Holyithylene 12月21日
これ、たしかに平文で見えちゃう状態だと色々やって試して遊びたくなる感があるんだけど、実環境で下手にやると攻撃になっちゃうからな……
お空キレイキレイ @747_bold 12月21日
Holyithylene たぶん無理 流石にサーバー側で送信元くらいは確認してはねてるだろ 悪用者が送信元偽造できるならそもそもわざわざ偽造QR生成する必要なくねってなるし
ゆき @ulbvbdkp23409 12月21日
namba_1301 QRコード決済って古臭い支払い方法ですよ…
お空キレイキレイ @747_bold 12月21日
どうせなら指紋決済とか顔認証決済とかつくれよと思ってしまう
ゆき @ulbvbdkp23409 12月21日
詐欺られる心配ないから別にいいじゃないかー って重要な決済システム内でこういった平文通信してたら別のところも杜撰じゃないかと疑わざる負えないんですけど…(実際杜撰だったわけだが)
亜山 雪 @ayamasets 12月21日
ぱっと思いついたのはDDoSだけど、割に合わん。
PSGOZ㌠ @PSGOZMIKU 12月21日
; ╹ω╹ ) 。oO(ごめん、これがどれだけ危ないのかさっぱりわからない...どうやって詐欺に使うの?誰か教えて...)
ゆき @ulbvbdkp23409 12月21日
Holyithylene 🍣でみんなやってた記憶がw
ひつじ @hitujirouZ 12月21日
公式声明→一部SNSで指摘があった、個人間送金(譲渡)機能で表示する金額指定QRコードの仕様について、検証の結果、残高を第三者が略取することはできないことが判明しましたが、万全を期すため機能の修正を行いました。 なお本ツイート時点で本件に関する被害の報告はございません。 https://twitter.com/PayPayOfficial/status/1076095382763974657?s=19
KPCG10 @KPCG10 12月21日
現金の紙幣で「1万円のの珍しい番号を集めているんです、あなたの持っている1万円と交換してくれませんか?」という、かすめ取り窃盗が起こるくらいなのですから、この「金額指定お金受け取り」も、お互いに納得した金額を画面表示しているようで決済金額に細工をするmというのは十分にありえるでしょう。
KPCG10 @KPCG10 12月21日
hitujirouZ おっと、記入した瞬間に公式見解がありましたか。
M.Katsuno@メガ冷房車超党派連合 @Gvo_Tiberius 12月21日
どうすると危ないのか聞いてしまうところがすでに危ない
ひとことぬし @htktnushi 12月21日
そもそもQRコードは機密情報ではないし情報量も限られるのでPayPayに限らず暗号化してても改竄される前提かつフィッシング的に別物掴ませられる前提(単にURLの手入力を省くだけの役割)で設計してると思う。基本的に機密情報はサーバ間通信のみに限定し、表を通すのはそれに紐付いたトークンとブルートフォース対策のキーぐらいだろうから、このURLにある金額は実際に決済に使うものではなくサーバアクセスなしの簡易表示か念のための目視確認用じゃないのかなと推測。
古橋 @FuruhasiYuu 12月21日
まあ結局は報告者の早とちりって話ですよね。今話題だからスクープだぞって思っちゃうんだろうけど、それでフェイクニュース流してたら世話無いというか、フェイクニュースってこうやって作られるんだなって話だよな。「今ならPaypay叩いても許される」ってのもあるのかもしれないけどねえ。やだねえ。仕事で実名出してる人がこういう事やっちゃうんだな。
ゆき @ulbvbdkp23409 12月21日
FuruhasiYuu 早とちりだったら運営元がSNSで対策したとか言わないんだよなぁ
RGB000 @19666_61 12月21日
これURLだから、QRコードである必要無いんだよね....サイトに埋め込めたりしちゃうんだよね....こういうの、インジェクション攻撃の入口になりそうだよね....
麺類大王 @kingof_menrui 12月21日
擁護しているのがアイコン無しアカウントばっかりで笑える…こんなシステム誰が高額決済に使うかよ!(5万円制限入ったのもそれか?) (1)インドで開発して(2)中共で流行っている(3)基本的にセキュリティレベルは飛行機のQRコード等と何も変わらない(4)そんな状況でトランザクションの一部要素でも平文
麺類大王 @kingof_menrui 12月21日
だいたいアカウント削除しようと思ってヘルプみたら「現在、アカウントは削除できません」「電話番号に紐付いてます」は?電話番号(SIM)解約してその電番の利用者が他人になったらどうすんの?(まあ使い切って正しく解除してから電番解約しろって事かな?)
麺類大王 @kingof_menrui 12月21日
と言うか擁護してるアイコン無しアカウント見たら鍵掛かっててもろ捨てアカ。。。
ゆき @ulbvbdkp23409 12月21日
kingof_menrui 棘用アカウント作ってる人は多々いるから…
ぷりん @printai100 12月21日
そんなことより、wxp://というのを知らなくて調べているけどわからなくて青ざめている。
麺類大王 @kingof_menrui 12月21日
show__chan でもこれって詐欺被害が見えにくいんだよね、いつの間にか減ってたって奴で
麺類大王 @kingof_menrui 12月21日
karasan111 消費者が詐欺(不正請求)に気づけばチャージバックになって販売業者側が全て引っ被るシステム(そこは通常のオンラインクレカ通販と何ら変わらない)。消費者が60日位気づかなければ消費者が引っ被る。明細は面倒でも毎月確認。
麺類大王 @kingof_menrui 12月21日
ただ個人乾送金だと詐欺の立証が難しくなるし、そもそもチャージバックは効かない(どうせPaypay残高にチャージ後に送金すんだろ)
麺類大王 @kingof_menrui 12月21日
zairo2016 まあそれだったら最初からクレカのPOSで。。。って話にはなるな
麺類大王 @kingof_menrui 12月21日
[c5769684] 銀行口座同士の振込の場合、組戻しも出来るし(手数料高いが)、詐欺と分かったら即凍結できるからね。Paypayの送金はそこまで考えてんだろうか(ヤフーソフバン役満だから。。。)
ひとことぬし @htktnushi 12月21日
printai100 Androidのintentのプロトコルじゃないですかね。アプリ側で勝手に決められるから基本的にそのアプリの開発元以外は知らないやつ。
麺類大王 @kingof_menrui 12月21日
htktnushi 話題はPaypayがそこまでやってないんじゃないの?って疑惑だと思うが
麺類大王 @kingof_menrui 12月21日
ちなみに試したこと無いけど、(他人が勝手に)Paypayにクレジットカード登録する行為は、3Dセキュア有効にする事によって阻止できるんじゃ?(もしくは著しく困難化できる)
ゆき @ulbvbdkp23409 12月21日
kingof_menrui コレ自体3Dセキュアできなかった記憶
ひとことぬし @htktnushi 12月22日
kingof_menrui 元ツイの人は「URLに金額が表示されている」「WeChat Payは暗号化されているがPayPayはされていない」という点で脆弱と言っていると読めるので「そこまでやってない」という主張以前にQRコードについて誤認しているような気がしたためその両方に対する反論を記しました。PayPay自体信用してはいないのですが、元ツイの人の出した事例には「そこまでやってない」ことを示すものが含まれてないのでここでPayPayについて言えるのは先の書き込みの推測の範囲までかなと。
麺類大王 @kingof_menrui 12月22日
擁護の論法 (1)中共では現金より信用されているよ ⇒ 知らねえよここは日本だよ (2)Paypay叩いても許される ⇒ Paypayと言うかQRコード自体胡散臭い評価が着き始めてんじゃないの?(外国の事情はイラネ
ゆき @ulbvbdkp23409 12月22日
kingof_menrui そもそもICカードでの決済が主流の日本で過去の遺産のQRで決済させようと思うのが謎ですわ
麺類大王 @kingof_menrui 12月22日
ulbvbdkp23409 もしそうだとしたら(未実験)、これを機に手持ちのクレジットカード、ばしばし3Dセキュア登録しましょう運動が流行、と言う副効用?を期待できますな…(3Dセキュア不可能なカードは解約)。しらんけど。
ゆき @ulbvbdkp23409 12月22日
kingof_menrui いやスルーされるから無駄な行為だよ
麺類大王 @kingof_menrui 12月22日
ulbvbdkp23409 そりゃ消費税増税と絡めて政府が無理やり流行らそうとしてんでしょう。既にクレカ所持している層は、相当高い割合でFelica等決済も導入していると思うので、非クレカ&非Felica等&現金決済層にどうやって流行らすつもりか分かりませんけど。
麺類大王 @kingof_menrui 12月22日
ulbvbdkp23409 やっぱり未実験だけど、3Dセキュア非対応の通販サイト等で、3Dセキュア登録済みのクレカ番号打ち込んだら決済エラーになったような記憶が。。。まあ、未だにPaypayで実験検証してないので、これ以上は述べないでおきますが。
麺類大王 @kingof_menrui 12月22日
denjiro13 ちなみに楽天Edyは紛失時価値再発行にいまだ対応してませんな…(2019年3月頃にモバイルタイプのみ対応予定)。(現金でも携帯でも無くしたら帰ってこないのは一緒だろと言う突っ込み予測)
堀石 廉 (石華工匠) @Holyithylene 12月22日
元のTweetの人がかなり中華凄いぜ系のひとなんで、PayPayを踏み台にしてWeChat Pay凄いぜって言いたかっただけの可能性はある
ブラキストン線の向こう側 @cupsoup2 12月22日
名前の通りペーペーだったと
ユーコン @yukon_px200 12月22日
「これをどうやって詐欺に使うんだよ。無理だろwwwww」と煽って、自分では思いつかない詐欺の手口を皆に考えさせる高度な情報戦。コインマイナーかよw
ぷりん @printai100 12月22日
htktnushi ありがとうございます。勉強になりました。
ユーコン @yukon_px200 12月22日
kingof_menrui Suicaは戻ってくるぞ。あと超マイナーだけどヤマザキのスーパーのプリペイドカードも戻ってきた。
zero2x @zero2xzero 12月22日
マイナンバーカードについてるQRコード読み込むとマイナンバーの12桁がそのまま出てくるの思い出した。つまり国家並のセキュリティレベルだな!
blade0@オッ㌠ @blade0 12月22日
こういう事件もありましてね…(思い出してググった) https://buzzmag.jp/archives/138742
汝、翼を与える@ばってん先に翼ばくれんね イベント・・(出た、出たが最初から居るとまでは・・・) @ryunosinfx 12月22日
これを詐欺に使うのは簡単っぽいけど。本物と同じ値段で本物のように置いておけばいいし、フィッシングサイトでもいい。勿論金額が表示専用であれば杞憂だけど。
ゆき @ulbvbdkp23409 12月22日
blade0 レンタサイクルのQRの張替えとかTLにながれてきてたなぁ
フシハラ @Fushihara 12月22日
画面に表示されるから問題ないだろって言う人は世の中の人を知らなすぎる。見ない人が悪い自己責任。で、切り捨てるのはつらいんじゃないかな
猫造@単なるバカ @nekozou23 12月22日
昔、雑誌のお小遣いサイト特集で、記事で紹介されてるサイトに掲載のQRコードから入ると、アフィリエイト経由になってて、担当編集者がお小遣い稼いでたという話を聞いたのを思い出した。 QRコードは読み取るまで何が書いてあるかわからないと考えると怖い気もする。
RENOWAN @renowan 12月22日
これがQRの正しい使い方だ!覚えとけ! https://twitter.com/yamome/status/1069878811330670593
古橋 @FuruhasiYuu 12月22日
ulbvbdkp23409 この話題で何が怖いって、あなたみたいに「Paypayは怪しい事ばっかりしてるから有罪である」って態度を取って真実がどうなのかを無視する人たちだなあと思いますよ。外野は、怪しいなら自重して、真実が明らかになってから叩けばいいんですよ。ようするに「結果がどうあれ現状で気軽に叩いていいこと」じゃないんですよ。
ゆき @ulbvbdkp23409 12月22日
FuruhasiYuu 現在進行系で怪しいのは確定じゃないですか? クレジットカード入力し放題、名義入力欄無し! PayPayでの不正使用による被害多数! これでどうやってまだ怪しくないでしょ!と言い切れるのだろうか理解に苦しむ
ゆき @ulbvbdkp23409 12月22日
クロだと確定してないからクロだと言うなってことかな? 流石にそれは無理がある
yasu (HIRATA Yasuyuki)@アスカネット @hirayasu 12月22日
技術的には問題無いけど、「怖い」「気持ち悪い」と騒ぐ馬鹿への対応って必要なんだなあ。Paypayの中の人お疲れさん。
茂田カツノリ@IoTコンサル-2/10同人ハード-2月末深圳ツアー主催 @shigezo 12月22日
printai100 WeChat Payのスマホアプリを起動するためのCustom URL Schemeっすね。
ゆき @ulbvbdkp23409 12月22日
むしろわかってない人が「叩くのはおかしい」と言っちゃうあたりがヤバみを感じるわ
SAKURA87@多摩丙丁督 @Sakura87_net 12月22日
まぁ100億円ばらまく企業ですから、ちょっと詐欺られた被害を補填する位たいしたことないんでしょうな。
SAKURA87@多摩丙丁督 @Sakura87_net 12月22日
この調子だと暗号化された部分も単にBase64エンコードしただけだったりしてな。
あごにー @Agony_01 12月22日
平文で金銭のやり取りを通信してるとか自殺したいのかなとしか言いようがないわ
あっぷ さん @App__ 12月22日
今の段階ではおそらく無害。でも、この限られた情報でもそれが表示上の「金額」だと分かってしまえば「チキチキ第1回!!ルール無用!! paypay QRで他人から詐欺ったら勝ち!世界大会〜」が開催中なのと同義になるので、見せなくて済むものは見せるべきではない、の意味で「気持ち悪い」って事でしょ
棚橋青 @ao_tanahashi 12月22日
テプラで値札が作れるよ、程度の機能に対して大騒ぎし過ぎなんでは?
taka @Vietnum 12月22日
ソフバンが自らセキュリティ意識を高めることよりも、ユーザーや店員にセキュリティ意識を無意識に押しつけてるイメージが強くなっちゃったから(本人確認や利用履歴のチェックなど)、いくら外野がデマだのフェイクだのと批判しても、ソフバンの悪いイメージが回復することはかなり難しいと思うよ。
ざの人(togetter用垢) @zairo2016 12月22日
kingof_menrui 5万円制限入った.のまとめは作りましたが、5万円制限でも逆に言うなら?5万円までは使えるわけで、やはり「使用残高を超える場合のクレカのオートチャージ」での支払金額の場合は「クレカの名義表記 と そのクレカの所有の確認」をしないと、まだまだ被害は続きますね。流石にその部分のインターフェイスを作り変えなきゃいけないのでしょうけど。クレカの名義確認を「名前とクレカで一致するが出来ない」ならクレカチャージなんて禁止するしか無いんだけどねえ。
RGB000 @19666_61 12月22日
少なくとも悪用可能性がいろいろ考えられる(実行は犯罪だし、可能性の指摘として迂闊に知識晒すと悪用されかねない難しさ)のはクラッカーの狙い目だし信用問題として、決済サイトとして致命的。
没可把 @mokkaha 12月22日
なんか関係者が紛れ込んでないか?
ゆき @ulbvbdkp23409 12月22日
そもそも真実が明らかになってからじゃ被害者どんだけいるんでしょうねw
kame4477 @kame4477 12月23日
19666_61 そんなこと言ったらATMだって「悪用可能性がいろいろ考えられる」ので全部廃止して窓口業務しか行えないようにすべきだね・・・
伊達川(一) @Datekawa 12月23日
ここまでセキュリティガバガバかつ大規模な案件そうそう見ないぞ……コインチェックの不正流出に勝るとも劣らないヤバさを感じる
ゆき @ulbvbdkp23409 12月23日
kame4477 ATMは間違えるとロックかかる仕様だけど大丈夫か? どの銀行でも標準装備やぞ
堀石 廉 (石華工匠) @Holyithylene 12月23日
kame4477 ulbvbdkp23409 まあ、実際にそんな感じで悪用事例(ATMの脆弱性というより利用者側の脆弱性だけれど)が多発したせいでATMからの入出金や振り込み額の制限ってかなり厳しくなっちゃってますよね。
kame4477 @kame4477 12月23日
ulbvbdkp23409 何言ってんだ?「悪用可能性がいろいろ考えられる」からダメなら、あらゆる決済手段が利用不可能だろって言ってんだけど。まあ具体的に問題を指摘できずにただ単にpaypayを叩きたいだけだから、こういうわけわからんバカなこと言ってんだろうけどな。
ゆき @ulbvbdkp23409 12月23日
kame4477 時代遅れの決済システム叩かれたからに怒り狂ってて草ww
ゆき @ulbvbdkp23409 12月23日
何が問題なの?と言われ非IT技術者に説明したとこで理解できないので無意味である。
SETU@ロンデーズライトパワー @setuna001 12月23日
え? 本当にこれ、ヤバすぎるんちゃうの?
麺類大王 @kingof_menrui 12月23日
Sakura87_net 詐欺られ被害が全部ヤフー・ソフバン面倒見るってなら別だけど、今までのヤフー・ソフバンの体質からしてそんな事は有り得ないでしょ?(殆どをPaypay加盟店と、無知蒙昧な消費者が引っ被る)
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 12月23日
クレジットカードの利用はカード番号、有効期限、名義が必須で場合によってはセキュリティーコードが必要なんだっけ?最初の3個を総当たりで見つけるのは難しそうだが。実際に総当たりで調べられたのかねぇ。本当にそうならクレジットカード会社で検知してそうであるが。
まさかず @mskz_iwmr 12月23日
URLを簡単に改竄できるからといって、そのURLをどこでどうやって使うのか?というのが語られていないと、セキュリティ上問題かどうかは判断できないのでは。 PayPayはリアル店舗で使用することを想定しているだろうから、店頭で生成したQRコードを略取・改竄したQRコードを店舗とは全く別の場所から差し替えるなんてのは、ハードル高すぎだと思うけど。
まさかず @mskz_iwmr 12月23日
で、仮に店舗が悪意を持って決済金額を改竄しようというのならば、そもそもURLを改竄しなくてもQRコードを生成する際に、不正な金額を入力すれば良いだけのはず。どうせレジと端末は非連動でしょ?
まさかず @mskz_iwmr 12月23日
それでも・・・っていうならば、支払う消費者側のスマホに、支払先店舗と支払い金額を一旦表示して、認証してから決済が完了するようにすれば、それも防げるはず(クレジットカードの伝票にサインする事でクレジットカード決済が完了するのと同じ)。
tgttr @tgttr4 12月23日
dc42jk 惰性ではいを選択するような場面で出てきたら
まさかず @mskz_iwmr 12月23日
セッションIDを持っているのだから、QRコード生成時のID・金額・セッションIDと、読み取り時のそれらを付き合わせればチェックはできるので、不正利用は難しくなるはず。PayPayがそこまでやってるかは知らんけど。
べるへる @beru2007 12月23日
気になってたんでもう一度コメ欄読み直してみたんですけど、少しでも具体的な攻撃の例をあげているのってほぼないのでは? MITMの可能性くらいでしょうか? ビックカメラではこちらが送信した金額をレジ打ち係が確かめていましたが…
ゆき @ulbvbdkp23409 12月23日
beru2007 そもそも実装方法がわからないのでURLの金額がどう使われてるか謎なんですよねー 下でも言われてるけど勝手にテストやったらアウトだし
麺類大王 @kingof_menrui 12月23日
dokuman3 paypayで棘田検索すればすぐわかるよ
麺類大王 @kingof_menrui 12月23日
トランザクション要素(セッション要素)の一部でも平文って、重要なセッションID等をhttp(httpsじゃない)のURLに載せてるレベルで怖いな
麺類大王 @kingof_menrui 12月23日
MITMやMITBって攻撃受けた時点で何でも出来るぞ~状態だから、確かにpaypayに限った話じゃないんだけどね(それ言ったらスマホ全般での決済行為がOUTになる)
麺類大王 @kingof_menrui 12月23日
Felica等やATMの決済って、確かに論理上も実際上もMITM/MITBが絶無じゃないんだけど、少なくともスマホ・ブラウザー決済より安心感はあるよね(相手がPOSとICチップだから)
麺類大王 @kingof_menrui 12月23日
ただFelica等による電子マネーって、多くのユーザーがいちいち履歴と明細と計算辻褄合わせやってないだろうから(手軽さが売りだから)、その点では電子マネースリの懸念は残るな(もうPaypay関係ない)
-----🦋おそば🦋----- @nico_churi 12月23日
中国の支付宝や微信支付とは真逆の成り立ちですね。。銀行から偽札が出て誕生したスマホ決済と銀行がそれなりに機能している中生まれたのと
ゆき @ulbvbdkp23409 12月23日
あとなクレジットカード不正利用が多数発覚した際に「身内の可能性もあるので確認を…」と宣った企業をどう信じろというのか 企業の言ってることは間違ってない!と思う人は気にせず聞いちゃうのかな?w
べるへる @beru2007 12月23日
今ってhttpsでpostするpayloadのデータも暗号化するのがお作法なのですか? ってのが知りたいんですよね… この会社に限ったことではなく
ゆき @ulbvbdkp23409 12月23日
beru2007 httpsも万能じゃないから暗号化しておくのが正解だと思う。
べるへる @beru2007 12月24日
ulbvbdkp23409 そうなんですか... いまgmailのログインパスワードのpostを見てみましたが,平文のようでした.
堀石 廉 (石華工匠) @Holyithylene 12月24日
この件まとめると、金額が平文で入ってるのは気持ち悪いって指摘に留めればよかったのに、詐欺云々まで言っちゃったのが勇み足、という認識。
堀石 廉 (石華工匠) @Holyithylene 12月24日
とりあえず件のツイートのレス追いかけると「「だからどう詐欺に使うんだよ?」って指摘、脆弱製だとは言ってない。」とのことなのでかなりトーンダウンしてた模様。 https://twitter.com/shigezo/status/1076257859279609857 まとめ編集してここらへんの経過も入れといて欲しい感はある。
ponponponp @tadano_nyanko 12月24日
詐欺だと例えばリアル店舗とかならダメですね。支払いするとスマホの画面にデカデカと決済画面がでるので眼の前の犯人に詰め寄れば良いですしpaypayアプリの偽物が出れば別ですが。問題はネット上で使う場合でしょうけど、そもそもネット上ならクレカ決済で良いわけで使われるとも思えず。やっぱり「決済金額が傍受されたら気持ち悪いなぁ」程度で終わりですね。
席上 @Nonsomnia 12月24日
支払い金額が手軽に書き換えられるのならいくらでも詐欺には使える気がするけどなあ。目の前でやられたら気付くし金額は確認するでしょって言うけど、「後で勿論お返ししますけど、都合があるので一度こっちの口座に100万振り込んでいただいて…」で当然そのまま返さずにドロン、みたいな詐欺が今まで世の中にどれだけあったと思ってるのか
席上 @Nonsomnia 12月24日
ネットならクレカ使うしQR決済なんて対面でくらいしか使わない、それだと実店舗が必要だしすぐ足がつくよね、というのも確かにそうは思うけど。その辺どんな形で設定を作り込めば言葉巧みに騙すことが出来るのか?というのはそれこそ本職の詐欺師が俺たちには思いもよらない方法で考えつくことなんだろうし、あり得ないとまでは思わないなあ
金目の煮付 @kinmenitsuke 12月25日
「危ないかも」って大騒ぎしてるだけで具体的にどう危ないか指摘できる人は皆無みたいだね。
金目の煮付 @kinmenitsuke 12月25日
そもそも、QRコードを「読み取るだけ」では決済は発生しないでしょ?「読み取って」「画面で金額を確認して」「決済ボタンを押す」のでしょ?画面見ないの?
べるへる @beru2007 12月25日
Nonsomnia kinmenitsuke ビックカメラでは, 金額は支払う側がアプリの画面で手入力しました. おそらくビックカメラのQRコードの情報は, 「どの店のどのレジが支払先であるか」だけです. つまりユーザーはもともと「金額を手軽に書き換えられる」仕組みなのですよ.
べるへる @beru2007 12月25日
ここまでの印象だと, 私はこのコンサル氏にはお仕事をお願いはできないですね. 炎上の演出としてはとてもお上手だったと思います.
れいじてんてー @layzy_glp 12月25日
アリペイ下敷きに作ってるって話だったのに何でこんなにザルなの……
席上 @Nonsomnia 12月25日
beru2007 なるほどなあ最初からそういう設計のシステムだとやっぱり騙すには使い勝手良さそうだよね。最初からこういう仕様なんですよビックカメラでも同じように自分で入力するんですよ、って大手の社名引き合いに出して説明されたら、普通なら目の前で金額書き換えなんて明らかに変な操作されたらおかしい!って思う人もでもそういうものなのね最近のハイテクはわからないわね、って流しちゃいそうだ
べるへる @beru2007 12月25日
Nonsomnia ご返事を数回読み直しましたが文意が取れませんでした. が, 理解できないものを疑ってかかるというのは賢明なご判断だと思います.
ライ麦 @raimugi825 12月26日
他人のQRコードを作れるなら嫌がらせには使えるのかな?それこそ店に提示してあるQRコードを差し替えたりとかで。
なみへい @namihei_twit 12月26日
しょぼい新入企業ならともかく、最近株式上場した大御所ソフトバンク様がですよ、後発でこの程度のセキュリティ意識のシステム引っさげて参入してくるとか、笑えない話でしょう?(むしろ、懸念問題点は把握した上で、自社の身にさえ降りかからなければそれでいい、位に思っている節さえ見受けられりゃあ、やっぱりソフトバンク・・・になるさな。)
三波雄 @373_you 12月26日
paypayは通販の支払いには使用できないことになってるので、通販で使ったら~というのは筋違いです。その場合はpaypayに言ったら支払いを無効化してくれるんじゃないですかね、多分。
今そこにある神崎 @Euri_K 12月26日
まあ、詐欺ってみんなが思いつかないから成り立つわけで、どうやって詐欺するんだよって言われても困るのは間違いない。仮にだれでも思いついても前提条件が厳しいとかで誰もやらないのを無理やり押し通すパターンもあるけど。。
今そこにある神崎 @Euri_K 12月26日
というかそこでパッと詐欺の手口を思いつける人は、倫理さえ許せば詐欺で食ったほうが合理的まである
CAW=ZOO@高津娼会 @CAWZOO 12月27日
だから現金最高っつってんだろ
inazakira @inazakira 12月27日
ラグナロクオンラインで値札と実際の値段が一桁違うって露店詐欺に引っかかった思い出。サイトに1000円と表示させつつ10000円として請求、気づかずそのままみたいなケースは起こり得たかも。でもQR作成要求時と異なる金額での決済ってサービス側で弾くんじゃないかな。今となっては分かんないけど。
ログインして広告を非表示にする
ログインして広告を非表示にする