「PayPalホールディングス」は、2022年2月2日に450万のアカウントを閉鎖・削除したことを明らかにしました。
本事件について今回は、下記3点を解説していきます。
- 今回の事件の概要
- なぜこのような事件が発生したのか
- 不正アカウント(会員)登録の対策方法
そもそもPayPal(ペイパル)とはなにか?という点から、今回の事件の不正は事前に防ぐことができたのか、企業側ができる対策は何かを解説していきます。
目次
PayPalとは?
PayPal(ペイパル)とは、ユーザー数は世界で3億6,000万人、加盟店舗数は2,400万店舗を超えており、世界規模でオンライン決済代行サービスを提供している企業です。
PayPalの仕組みは、PayPalが事業者とユーザーの間に入り決済代行を行います。
ユーザーがPayPalに対して、銀行口座やクレジットカード情報を登録します。
その後ユーザーは、オンラインショップ・オンラインサイト等でメールアドレス(ID)とパスワードのみで決済することができます。
どういった事業者がPayPalを導入しているのか
前段でも述べた通り、PayPalはオンラインショップやオンラインサイトで簡単に決済できる便利なサービスです。
ネット通販はもちろん電子書籍や、ゲーム、航空券、宿泊予約を取り扱う企業がPayPal を導入しています。
また、PayPal上のIDとパスワードで決済ができる点からユーザーが手間をかけずに決済することができるため、クレジットカード決済を主に使用している人がPayPalを利用しています。
PayPal(ペイパル)導入事例の紹介として株式会社ヤマダ電機を挙げます。
株式会社ヤマダ電機の課題として、ECサイトでの顧客の離脱率を以下に抑えていくかというものでした。
特にクレジットカード決済ですと「手元にカードがない」、「カード情報の入力が面倒」という理由で離脱してしまうケースが目立ちます。
これらを踏まえて、ユーザーの利便性を損なわずに買い物をしてもらいたいという考えがあると考えます。
Paypalのキャンペーン適当開催
Paypalはかなりの頻度で加盟店と協力してキャンペーンを行っております。
内容としては、主にクーポンの配布・キャッシュバックキャンペーンなどです。
【新規加盟店のお知らせ】
メンズスキンケアブランド「BULK HOMME(バルクオム)」でペイパル決済が新たに利用できるようになりました。今だけ最大79%OFFペイパル限定キャンペーン実施中🎁 https://t.co/UqiGXTpkGE#ペイパル #PayPal #バルクオム pic.twitter.com/Szwc9TP7mZ— PayPal(ペイパル公式)日本語 (@paypal_jp) April 6, 2022
【キャンペーン情報:ビジネスユーザー向け】
抽選で100名さまに10,000円をキャッシュバック『PayPal x 三井住友ビジネスカードで今年もスマートに経費精算キャンペーン』を開催しています。エントリー不要です。キャンペーン対象者・ご利用条件などの詳細はこちら: https://t.co/Ocd3qMBXy2 pic.twitter.com/SbpcoTaaNt— PayPal(ペイパル公式)日本語 (@paypal_jp) January 11, 2022
オンライン決済サービスのPayPalが450万アカウント閉鎖・削除
このPayPalは、多重なアカウント登録による悪用被害に逢い、450万のアカウント閉鎖・削除となりました。
では、なぜPayPalが450万のアカウントを閉鎖することになってしまったのかを解説していきます。
悪用されたキャンペーンの概要
PayPalは昨年、新規のアカウント開設を促すために新規アカウント開設者に最大10ドル(約1140円)を付与するキャンペーンを開始しました。
このキャンペーンを利用した不正者がとある手口で複数のアカウント登録をし、報奨金を不正に取得したのが今回の事件の一連の流れになります。
なぜPayPalは不正をされてしまったのか?
PayPalが不正者にキャンペーンを悪用されてしまった理由としては、PayPalのアカウントが1人で複数所持できてしまう仕組みになっていたからだと考えます。
現在、PayPalアカウントは個人アカウントとビジネスアカウントの2種を作成することが可能になっていますが、それぞれのアカウントは独自のメールアドレスを持っていれば作成可能です。(同一クレジットカードまたは銀行口座を共有することはできません)
つまり、PayPalに登録するメールアドレスが他のアカウントと異なる場合は、複数のPayPalアカウントを作成できてしまします。
このように、1ユーザーに対して複数のアカウントを所持できてしまう仕組みから、今回のようなキャンペーンを悪用されアカウント閉鎖に繋がってしまったと考えます。
PayPal以外の企業でも同じような事件が起こりうるのか?
結論、PayPalと同じように1ユーザーが複数アカウントの登録が行える仕組みのサービスであれば不正者に狙われる可能性が高いため注意が必要です。
また、PayPalはキャンペーンを適当開催している点から、換金しやすい機会が多いという不正者が不正を行う目的に適していたとも言えます。
1人で何個もアカウント作成できる・換金性が高いサービスを運営している企業は要注意と言えます。
PayPalのような決済代行サービスを提供している企業へ3つの注意点
PayPalのような決済代行サービスを提供している企業は、自社が被る影響についても理解しておきましょう。
企業が被る影響とは?
多重なアカウント(会員)登録により、想定される影響として以下を取り上げます。
- 報酬金が不正者にわたってしまう
- 事件発生後の再発防止対策コストが発生する
- 各メディア等への広告掲載コストが発生する
これらについて解説します。
【注意点1】報奨金が不正者にわたってしまう
今回のPayPalのキャンペーン悪用の事件に関わらず、不正者は現金化することを目的としていることが多いです。
今回の事件でPayPalに想定される影響は以下が挙げられます。
- 450万アカウント × 最大10ドル = 4,500万ドル(約50億円)
単純計算で、4,500万ドル(約50億円)が不正に取得されたことになります。
多重なアカウント登録をされることで、事業者にとってコスト面で大きな損害になってしまうことがわかります。
ここで注意すべき点は、複数のアカウント登録をできないようにすることです。
【注意点2】事件発生後の再発防止対策コストが発生する
またこういった事件が発生した後には、事業者側は二度とこういった事件が起きないように対策をしなくてはなりません。
事件が起こった原因調査のための調査費用も必要になってきます。
再発防止対策として、不正システムの導入、社内セキュリティ体制の強化をしなくてはなりません。
再発防止対策を実施するとして、コストと工数がかかることが予想されます。
【注意点3】各メディアへの広告掲載コストが発生する
そして、【注意2】の再発防止対策コストだけではなく、ユーザーに向けてメディアへの謝罪広告掲載費用も挙げられます。
今回取り上げたPayPalのような大手企業ですと、Web上でのリリースだけでは済まないケースもあります。
こういった悪用被害に逢うだけでも莫大なコストと労力がかかることがわかります。
どういった対策をとることが最善なのか?事前に防ぐことができたのか?
では、こういった影響を被らないようにするためにも、どのような対策をとるべきなのか。
弊社では以下の対策方法を挙げさせていただきます。
- SMS認証
- 不正検知サービスの導入
それぞれ詳しく解説していきます。
【対策1】SMS認証
対策の1つ目はSMS認証、いわゆる電話番号認証サービスになります。
電話番号認証はID・パスワードのほかにも本人確認ができる認証サービスなので、BOT(ロボット)や人の手を使ったアクセスの双方に対応が可能となっています。
今回の事件は多重なアカウント登録ということで、アカウント登録時の認証サービスを簡単に突破されてしまったのではないでしょうか。
ユーザビリティも高くまた、セキュリティレベルも高いという点で次にご紹介いたします不正アクセス検知サービスの導入を推奨させていただきます。
【対策2】不正検知サービスの導入
【対策1】のSMS認証ですが、ユーザーの手間がかかってしまう点がデメリットとしてあるためユーザビリティが高いとは言えません。
そこで弊社の不正検知サービス「O-PLUX」を導入していただくことにより、セキュリティも高く、また、ユーザビリティも維持しながら不正アクセス対策が可能となっております。
※参考:かっこ株式会社
自社のシステム内で不正者に狙われていないか・不正アクセス・多重アカウント登録を未然に防ぎたい等お考えであれば当サイトを運営するかっこ株式会社が提供している「O-PLUX」までご相談ください。
-8-1000x300.png)
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
そもそも不正アクセスとは?
【対策2】では不正アクセス対策として、不正検知サービスの導入を推奨させていただきました。
そもそも不正アクセスとはどの範囲のことを指すのか?多重な会員登録って不正アクセスなのか?について知りたい方は以下の記事をご覧ください。
まとめ
ここまでPayPal(ペイパル)の会員登録キャンペーンによる報奨金不正取得の事件について取り上げました。
自社に影響を及ぼす前にできる対策として以下の内容をまとめます。
- 1ユーザーにつき1アカウントの利用をできる限り徹底する
- 1ユーザーにつき複数アカウントを利用できる仕組みの場合は、認証サービス・不正会員登録検知サービスの導入する
こういったPayPal(ペイパル)のキャンペーン悪用事件のように、実際に不正アクセス被害を受けてからでは遅く自社に大きな影響を及ぼします。
自社の被害を最小限に抑えるためにも、また、今後こういった被害に逢わないためにも自社で一度不正アクセス対策についてお考え下さい。
