何が起きたかというのは下記Noteの本人談及び検証者の検証結果に詳しいのでまずはそちらを参照してください。ここに来る人はおそらくもう読了済みだと思うけど。
まあ簡単に言うと、謎のQR読み込んだだけでガンガン謎チャージと支払いがかかってあっという間に口座の金が吸い取られた、という話です。
んで、後者の人が実際に自分で同じことができるか検証してくれている(結果的にBANされちゃってるけどw)。
今回の話のポイントとして、そもそもコード決済におけるQRの扱いの基本的な話は整理しておきたいんだけど、そもそもの話としてQRコードを使った各種連携は最近便利になりすぎてしまって、スムーズであることが当たり前のように感じる人も結構いるんじゃないかと思うんですよね。
例えば、LINEのPC版で表示されたQRをアプリで読んだら読んだ瞬間にPC側でログインが完了するよね。これ。
あるいは、Authenticatorで二要素認証登録するときにQR読んだら即座に登録完了するよね。
あるいは、PCサイトでのマイナカード認証でQRをデジタル認証アプリで読み込んだら…
まず、そういう仕組みにみんな慣れつつある。これ自体は全然問題ではないんだよね。大抵の場合、自分が主体で認証処理や連携処理をキックしているわけだから。
問題は、今回のような「QRコードで簡単に連携できます」の仕組みを悪用して、他人に連携させるみたいなのをどうガードするか。
みなさん、聞き覚えありませんか?そう、ドコモ口座の事件。僕のXに固定で貼ってある以下のエントリに書いた問題はお金を動かすシステムをやる人はずっと意識してなければならないと思うので貼っておきます。
続々連携がストップしているドコモ口座とWeb口振受付の問題について - novtanの日常
何が似通っているかと言うと、他人の別のサービスのアカウントに勝手に連携される上に勝手にそこに資金が移動することですね。最初に示したエントリの後者で推測されているのが「名義が違うのに連携がOKになる」問題なんだけど、これ、ドコモ口座のときもおそらくそうだった可能性が高い(まあ、名義だけ無理やり偽装している可能性もあるけど今どきちょっと難しい)。なので、ここがおそらく最大のギルティなポイントです。とはいえ、ドコモ口座は「他人が勝手に自分ドコモ口座に被害者の口座を連携してお金を吸い取る」というシステム側がクソすぎる事例だった一方で今回はフィッシングの一種で詐欺師の指示に従ってやってはいけないオペレーションをやってしまった、ということになるので、比較的ユーザー側の責任も(少なくとも連携しちゃうという点においては)あります。
ただ、既に指摘済みの通り、「QR読んだら無条件で連携OKになる」というのはUXを重視としても、連携されるサービスの質を考えるとお粗末な実装だと思います。せめて確認ダイアログは出すべき。
さて、もう一つのダメポイント。連携されるサービス側の仕様。これはその仕様で連携することにしたPayPay側にも問題がある(そのサービス仕様としてOKして契約しているはずなので)のですが、「連携側の指図によってPayPay残高がチャージされ、そのサービスに支払われる」という仕様ね。これ、ちょっとおかしいと思うんですよ。
というのは、おそらくなんだけど、この仕様を実現するためには連携側のサービスからPayPayの機能を使うために、PayPayのアカウント側でユーザーが認可をする必要があります。これはよくある実装であればOAuth2の認可フローを使ってアクセストークンを取得する処理に該当するんだけど、その場合、絶対と言っていいほど必要なのが「ユーザーによる認可操作」であり、その際には何が認可されるかを表示して了解させる義務(と言っていいかな)があります。でも今回のこれ、QR読んだだけで連携が完了=PayPay側への取引指図ができるようになってませんか?これおかしくないですか?
いくらフィッシングに引っかかったと言ってもこれはおかしいんじゃないかなあ。おかしいですよねえ。誰だこのサービス考えたやつ。そりゃね、仕組み上は認可画面を出さないで進めることは出来ますよ。でもそれやっちゃ終わりじゃない?
と僕は思うんだけど、どうだろう。実はこうなんだ、みたいなことを知ってる人がいたら教えてほしくはある。
ともあれ、「外部のサービスからの指図で資金の移動を行う」サービス自体は普通はこっち側のサービスでのチャージの処理まで許可されることはあまりないと思うし、まあ公営ギャンブルサイトで一刻も早く購入操作したいというニーズがあるのはわかるけどだからこそここの認証認可処理は簡便にしてはいけないと思うんだよね。正直、本件一発で「PayPay怖い」と思われることは仕方がないと言わざるを得ないような事件だったと思います。これ払拭するにはこの手のに引っかかった被害は全額弁済するとかじゃないともうPayPayの信用レベルが1段階下がっちゃうのは仕方ないと思うよ。
