セキュリティコード間違えたのにクレカ決済できるのはなぜ？ ヨドバシECサイトに疑問の声 仕組みを広報に聞く - ねとらぼ

決済サービス「PayPay」におけるクレジットカードの不正利用問題（関連記事）に関連して、大手家電量販店「ヨドバシカメラ」のオンラインショップ「ヨドバシ・ドット・コム」でクレジット決済をする際、「セキュリティコード」を間違えていても決済できてしまえるという報告がTwitterで注目を集めています。ヨドバシカメラ広報部に、クレジット決済の本人認証について取材しました。 ヨドバシ・ドット・コム オンラインでクレジットカード決済する際は、利用者本人かどうか確認をするために「カード名義」「カード番号」「カード有効期限」に加え、主に裏面に記載されている3～4桁の番号「セキュリティコード」の入力を求められることが一般的です。 セキュリティコード記載例（JCBカード公式サイトより） セキュリティコードはカードの磁気情報には含まれておらず、券面の印字を見ることでのみ確認できる情報。店頭で磁気情報を盗むスキ

[gachapining]

話ずれちゃうけど、セキュリティコードをカードの裏に印字すること自体、設計バグレベルだと常々思うんだけども。

[rinsuki]

それならそもそも聞く必要なくない?と思ってしまう

[fashi]

元々「入力しない」というチェックボックスがあるので長年謎だったが、購買実績があればセキュリティコードは重要ではないということか。もうヨドバシではいちいち入力しなくていいな

[lovevoiceryu]

必須でないものを入力させるべきではない。考え方がおかしいと思う。

[pismo]

そもそも論として、セキュリティコードを見ていないのならば漏洩の原因になる可能性があるからセキュリティコード欄を無くすべきなのではないか？広報の言っていることは支離滅裂。

[sawat]

言ってることは理解できるが、こういうのは多要素認証とは言わなくないか？

[fukken]

独自に厳しくする分には自由だが、独自に「甘く」するとクレカ会社の補償対象外になったりしねぇのかな。そこまでヨドバシでケツ持つってんならそれでいいけど。

[karkwind]

まぁ通販は、物理アドレス(住所)とか、参照する内容があるからな。AmazonもCVC(CVV)を聞かれないことが多いし

[Falky]

いやいや、カードを所持している本人なら絶対に間違えない項目なんだから、検証する意味はあるでしょ。

[xjack]

え，認証に使ってないなら入力させんなよ．

[pmakino]

「セキュリティコードはいろいろな方法で手に入ることが可能…弊サイトのクレジット決済ではお客さまに入力いただく情報“以外”の属性で、正確に本人認証できる仕組みを作っております」<なるほどやっと謎が解けた

[Harnoncourt]

このネタはるか昔から既出なんだけどな。

[carrion-crow]

コメント欄「いちいちエラーを返すとセキュリティコード洗い出しに使われる可能性があるので、不要な場合はエラーを返さない」低額の決済ならあえて見ないという手もあるのかな？

[eagleyama]

“セキュリティコードが間違っていても、他の属性でカード会社と本人利用の確認が取れれば決済できるようにしております”

[adsty]

多要素認証という確認方法をどれほど信頼できるか。

[tennstedt_kf]

“ェック体勢で対応しております。セキュリティコードの入力が間違っても決済が完了してしまい不安に覚えるお客さまもいらっしゃるかもしれませんが、お取引の安全性についてはきっちりと確認させていただきながら運

[fn7]

セキュリティコードって決済に必要なんだと思ってた

[nilab]

セキュリティコード間違えたのにクレカ決済できるのはなぜ？　ヨドバシECサイトに疑問の声　仕組みを広報に聞く - ねとらぼ

[longroof]

“セキュリティコードは暗証番号とは違って券面に書かれており、本人確認の上で必須条件ではない”はぁ(；´Д｀)？

[daidokoro52]

入力した方が安全かなと思い入力してたのに・・・

[mas-higa]

この話しぶりだと認証に使う場合もあるのでは?

[debtengineer]

間違えたら決済できないようにしたほうが良いに決まっているのに、なぜそうしないのか理解できない

[mongrelP]

んーでもとりあえず書いておく。とはいえセキュリティーコードのセキュリティーってどうなの、とは思うけど(全部3Dセキュアならわかる)

[KAN3]

車にチェックつけろみたいな人間テストで実は適当にやってもokだったみたいな話

[wdnsdy]

セキュリティコードを間違った時に決済が通らなかった通販サイトはあったけど、何の項目を間違っていたのかはっきり書かれてなかった。だからその後2回位セキュリティコードを間違ってはねられたって記憶がある

[tamihe1]

セキュリティコードは毎回注文のたびに入力してるからもう覚えてしまったよ。通販サイトって届け先が新しくなると再度カードの入力を求められるから、名前と住所が合ってれば俺んとこにちゃんと届くで別にいいかな。

[akemi22ki]

この認証行程いらんってことでは？

[pptppc2]

要はあのセキュリティコード入力欄、完全に形だけのものだったのか。いちいち律儀に入力してたのだが…。

[hairstone]

ブコメの、間違いにエラー表示を返すと攻撃者が総当たりでのセキュリティコード取得に利用できてしまう、には納得

[moondoldo]

いやいや…この件は店舗のヨドバシと、決済サービスのPayPayを一緒にして語るなよ　あと実際に不正利用が出てから騒げ

[versatile]

なんだこれｗ

[atoh]

間違ったセキュリティコードを何回も入力してればいずれどこか（カード会社とか）で引っかかるんじゃないの。まぁ、心配なら限度額引き下げといたらいいんじゃない。毎月何十万も買い物しないでしょ。

[envygreedlust]

セキュリティコードはスキミングが主な不正手法だった時代のもの https://the01.jp/p0005193/ / クレカの次の決済手段が出来ても、現金中心の日本の取扱高シェアは低いので日本の商慣習が反映されたものにはならないでしょう

[ShoCoh]

あのチェックボックスはなんのためにあるのかと思ってたけど、そもそもカード券面の情報だけをチェックしてるわけじゃないから、他の情報で妥当性が検証できればなくても問題ない、ということか、なるほど

[delphinus35]

なるほど。自分の入力ミスなのに購買できないっていう客をサポートするコストとの兼ね合いだろうね。信頼できる顧客かどうかで入力欄を表示・非表示切り替えると、それも不信感を与えてしまうし。

[ch416]

ちなみにね、ドットコムでCVC無しで買うとカード会社の審査が長い。ドットコムはカード情報は番号通ればまんま送ってるだけ。PCIDSSの件もあるしヨドバシが考慮したほうがいいのは番号を保持していいかってこと。

[theband]

成立するのは了解。ただ『絶対条件』から『絶対条件ではない』にあえて変える利点は謎だな…。不要に会社の評判が落ちるし、数字入力時の情報抜き取りリスクも、殆どの客は律儀に数字を入力するから同じ。利点が謎だ

[daichirata]

ヨドバシってより、裏の決済ゲートウェイに丸投げしてるんじゃ無いの？実装的にヨドバシが独自で甘い判定してるわけでは無いと思うんだけど違うんかな。

[matsui]

仕組みをよく調べてから騒いだほうがいい。

[otchy210]

「入力しない」ってチェックボックス見かけるのもこれか。妥当には思える。