TOP > ネタ・話題・トピック > ねとらぼ > セキュリティコー...

セキュリティコード間違えたのにクレカ決済できるのはなぜ? ヨドバシECサイトに疑問の声 仕組みを広報に聞く - ねとらぼ

218コメント 登録日時:2018-12-19 17:48 | ねとらぼキャッシュ

「ヨドバシ・ドット・コム」のクレジット決済で「セキュリティコード」を間違えても本人認証されてしまう事象に不安を覚える声が。認証の仕組みについてヨドバシカメラ広報部に取材しました。...

Twitterのコメント(218)

"セキュリティコードが間違っていても、他の属性でカード会社と本人利用の確認が取れれば決済できるようにしております。"
いや、おかしいでしょう
頑張って作文した感が…。 |
"セキュリティコードが間違っていても、他の属性でカード会社と本人利用の確認が取れれば決済できるようにしております" /
「入力いただく情報の属性で、正確に本人認証できる仕組み」←へー。セキュリティコード間違えたのにクレカ決済できるのはなぜ? ヨドバシECサイトに疑問の声 仕組みを広報に聞く - ねとらぼ
うむ。某製品のログインも実はフェールワンス入れてるのでは?という動作のことが多い /
バッテリー交換以外にも用事あるのに外からチェックできないのは面倒くさいなあ。明細書が届くまでわからないのか、
本人確認の一要素だからだって。へー。知らなかった。:
じゃぁ入力項目から外せよって話だよねw
いや、入力間違ってたらはじけよ 他の情報と総合的に判断とか要らないから 不正利用されて気が付かなかったら、損害受けるのはカード所有者だぞ?
本人かどうかの確認は多面的にやってる
セキュリティコードはカードに書いてあるしセキュアじゃない

なるほどなぁー
セキュリティコ-ド間違えたのにクレカ決済できるのはなぜ?
これおもしろいね、
そもそもヨドバシ、セキュリティコードをいれるか入れないかを選べるんだよね、
... 多要素認証。"そのため弊サイトのクレジット決済ではお客さまに入力いただく情報"以外"の属性で、正確に本人認証できる仕組みを作っております"
なんか、店頭で店員さんに説明されている感。脳内再生余裕だった:
他の要素…少なくともカード会社とのやり取りは行われていると推測。
セキュリティコードを求めない他サイトもそういうことか
観測中・・・「基本的に本人認証では『多要素認証』の形をとらせていただいております」「入力いただく情報の属性で、正確に本人認証できる」:『セキュリティコード間違えたのにクレカ決済できるのはなぜ? ヨドバシECサイトに疑問の声 仕組みを広報に聞く:ねとらぼ』
一回はわざと間違える必要がでてきた?
私、前エクスペディアで飛行機予約した時、セキュリティコード間違えて支払いしたのに、結局ちゃんとできてて、なんだったんだと思ったことがあったんだけど、こういうことだったのね。
「一般論として、カード番号やセキュリティコードはいろいろな方法で手に入ることが可能で、手に入れた人物からアタックを受けるショッピングサイトはたくさんあります」
ねとらぼはサイト運営者と決済事業者の区別がつかないの?
"セキュリティコードは暗証番号とは違って券面に書かれており、本人確認の上で必須条件ではない"はぁ(;´Д`)? /
知らんのか??
たしかにヨドバシセキュリティコード間違えても買えるし、もっと言えば入力しなくても買えることを。
ただしその場合審査に時間かかることを。
丸見えのセキュリティコードを暗証番号的に扱うサイトが多くて疑問に思ってた。

ねとらぼ: 仕組みを広報に聞く.
んーでもとりあえず書いておく。とはいえセキュリティーコードのセキュリティーってどうなの、とは思うけど(全部3Dセキュアならわかる) /
クレカ、今まで崩壊してないのが凄い(気づかれてない不正利用多そう)
圧倒的な便利さがあれば、多少のセキュリティリスクがあっても、、なのか?
なら聞くな!余計な情報入力はそれ自体がセキュリティーリスクだ! ーー 「セキュリティコードが間違っていても、他の属性でカード会社と本人利用の確認が取れれば決済できるようにしております。」
そうするとヨドバシの「正確に本人認証できる仕組み」が正しく機能しているか、が問題になるわけだけど、今度はそれが外部から検証できないことが問題なのでは。
🤔本人確認はカード会社次第なんたね
車にチェックつけろみたいな人間テストで実は適当にやってもokだったみたいな話 /
要はあのセキュリティコード入力欄、完全に形だけのものだったのか。いちいち律儀に入力してたのだが…。 /
セキュリティコードと言葉でいうほど安全ではないのだよ(震え声) :
これはこれでダメでしょーよ
「入力しない」ってチェックボックス見かけるのもこれか。妥当には思える。 /
「いま決済している人」が「過去に購買履歴がある人」と同一であるということは確認できないでしょ? 何言ってんだろ /
多要素認証してるから?ならセキュリティコード自体要らないよね?馬鹿なの?

❝ - ねとらぼ❞
いやダメでしょ。必要のない情報を入力させるなという話でもあるし、間違った入力で正常終了しちゃだめでしょという話でもあり
じゃあ、なんで入力させるのかというのの説明になっていない /
ヨドバシもやべぇじゃねーか!と思ったら「入力情報以外の属性でも確認している」とのこと。へ〜。
セキュリティコードの意味とはいったい……。/"弊サイトのクレジット決済ではお客さまに入力いただく情報
えっ・・・?|
「入力しなくても通る」ならともかく「間違っていても通る」はUX的にダメなのでは。多分セキュリティコード総当たり攻撃とかに対処していった結果この謎挙動になったのだと思うが… / "セキュリティコード間違えたのにクレカ決済できるのは…"
ふむー
NowBrowsing: - ねとらぼ:
必須でないのなら入力めんどくさいのだが……。:
セキュリティコード間違えても通す、という設計思想がそもそも間違ってる。ヨドバシはもう使わないようにしよう。
そもそもヨドバシ、セキュリティコードも入力しないって言う選択肢あるしねえ

Now Browsing: -
いくつかある認証のうち1つでも突破できたら認証通すって多要素認証とは呼ばないと思うんですけど
" セキュリティコードが間違っていても、他の属性でカード会社と本人利用の確認が取れれば決済できるようにしております "

本人確認の上で必須ではないと。
オリガミペイでセキュリティコード違ってもカード登録できたのはこういうことか! /
じゃあ何のために入力するのかというと微妙な場合に電話がかかってくるか電話なしで発送されるかの違いだなたぶん。 /
セキュリティコードを間違ったときにはエラーにすべきじゃ・・・と一瞬思ったけど、妥当性の判断が担保されたうえでの、否定した箇所を推定させないためね。
しらなかった
「多要素認証」か…。
何となく察しはつくけど、こういう柔軟なシステム、すごく興味がある。
いらないけど入力させてましたって、ECサイトの使用を疑いたくなる話
この言い訳はどうなんだ?


何のためのセキュリティコード入力なんだろう?
ECサイトとしてのヨドバシがセキュリティコードチェックをスルーするのは良いとして、カード会社の決済が通ってしまうのはどういう事だろうか?

カード会社としてのヨドバシの話か? でないとすれば、私は全く思い違いをしていたのかもしれない。
Amazonも通常の決済時にはセキュリティコード要らないが、この前受取先をいつもの店と違うコンビニに指定した時にはセキュリティコードを要求された。ヨドも尼もケースバイケースで使い分けてるのだろう / "セキュリティコード間違えた…"
ヨドバシ・ドット・コム民なので不安になって読んでしまった
多分、裏で使ってる決済システムがセキュリティコードに対応してないんだろうなー。
ヨドバシもかよ…と思ったがそういう話でもないっぽい
セキュリティコードを使わないこともある、と言ってるだけで、使わないとは言ってないとおもうのだが。 /
後回しにしてた二段階認証の設定とかを進めておこう。
ヨドバシドットコム、セキュリティーコード(以下「コード」)案件。
ヨドバシでクレジットカードの使用時、コード以外も確認して認証を行っている。だからほかの属性(住所や電話番号)に問題がなければ、コードが違っても決済が行われる。
どうであれ、ヨドバシの通販を使い続けるんだけど /
たしかに。百貨店とかでは裏に持っていかれるしね。 "セキュリティコードは暗証番号とは違って券面に書かれており" /
「無いよりはあった方がいいですよね」という論理でザルい認証が追加されては、ユーザーがそれを尊いものと誤認する昔からある光景 /
「お客さまに入力いただく情報の属性で、正確に本人認証できる仕組みを作っております」本当かなあ。 セキュリティコード間違えたのにクレカ決済できるのはなぜ? ヨドバシECサイトに疑問の声 仕組みを広報に聞く - ねとらぼ
入力しないオプションがあるのいつも謎だったけどそういうことなの?でもそうなるとセキュリティコードとは…となる
あーそういえば入力を省略するオプションあったな。なら、最初からセキュリティコード要らないのでは…? /
オチから言うと、多要素認証だからコードを間違えても通すことがあるということらしい
実際、カード落としたらコードも一緒にバレるもんな
「使う場合も使わない場合もある」は「セキュリティコード」という言葉から受ける印象から乖離してる気がしてどうかと……必ず使ってかつ合っていても別の理由でで弾くこともある、なら分かりますが / "セキュリティコード間違えたのにクレカ…"
合理的だと思うけど、ウェブサイトの仕様として妥当かというとなんとも言えない /
間違えたら止める、でどれくらい機会損失になんのかしら /
店員さんの回答が模範解答だけど素晴らしい /
逆に言うと、セキュリティコードが合っていても通らんときは通らん、と。別に普通だな。
正しい所有者がセキュリティコードが間違う可能性はけっこうあって、いちいちエラー出してるとサポートやクレームのコストがかかるとか?:
仕組みを広報 ...
現在のヨドバシは、わざわざ手間をかけさせたうえにセキュリティは強固にならず、コード漏洩のリスクがあるという最悪の状態。今後は正しいコードの入力を必須にするか、もしくは入力欄を撤廃するべき。 / "セキュリティコード間違えたのにク…"
セキュリティコードとか店側は一切信用してないからな //
自分で落とし穴深く掘ってどうするの
スパム判定的なロジックで総合的に怪しいものを撥ねるってことか。そもそも信販会社側で受け付けてるんだから、ヨドバシとしては経済合理的に判断すればいいんだろう。 /
セキュリティコードの有無でカード会社への手数料が変わると聞いた気が。ネットの場合、不正使用の損害は店舗側が負うらしく、そのリスクとのバランスかな。Pay での悪用は、当然 PayPay が負担するしかないよね? / "セキ…"
PS4をヨドバシドットコムで衝動買いした時にセキュリティコード間違えて入れたのに決済されたので届くか不安だった。
じゃあ入力させるなとしか言いようがないのでは /
んー、あまり良くないと思うけどな
自分もヨドコムでセキュリティコード間違えて買えた事あるわー
うーん、セキュリティホールを頑張って正当化しているだけのような。。
多要素認証の観点は理解できるけどそもそも顧客が不安に思う仕様はどうかと思う
なら聞かない方が良いのでは?スパイウェアで通信内容抜かれて正しいセキュリティコードとカード番号が揃って奪われる可能性だってあるのでは?ていうか3Dセキュア使おうよ。
言いたいことはわかるけどIFは微妙。例えばAmazon ならクレカの初回登録時のみセキュリティーカードを要求してたはず /
完璧な取材と答え。ヨドバシのカード認証に微妙なタイムラグがあるのはそういう事か。
間違えててもオッケーなことに正当性を見出すことは無理だ。 /
利便性とのバーターだけど、自分はセキュリティコードの情報はきちんと使って欲しいな。不正利用の時の損失と手間を考えると、毎回クレカを確認するくらい大した手間じゃないし / "セキュリティコード間違えたのにクレカ決済できるのはなぜ?…"
多要素で正当性をチェックしている言い分は理解できる。しかし、セキュリティコードを未入力より間違えるほうが自分の信用度が落とされてそうだ。だからといってこの辺りを公開するのは脆弱性を生むから、こちらはヨドバシを信用するかしないか。|
たとえば、セキュリティコードを必須に取り付けて売り上げが5%落ちるなら、必須にしない。3次元認証も導入しない。という考え方。そんなストアが多すぎて怖すぎてPaypal導入してるところはPaypalで買うわ。 / "セキュリティコ…"
もともとヨドバシには「セキュリティコードを入力しない」というチェックボックスがあって謎だったんだけどこれで理由がわかった /
"本人認証を強固にするためセキュリティコードを求めているが、他の属性でさらに正確な本人認証をしているので安全である、との説明" /
おやすみいいいいいい!!!!この記事気になる∠( 'ω')/
|
この辺の金融システムすごいな。それがそんなに時間をかけずに照合できてしまう。 / (ねとらぼ)
おもしろい。カードに書かれてる情報は本質的には信用してないってことやね。
技術的視点で見ると理解はできるが、利用者視点であれば不安を感じるUIですね。
必須なければ入力させないほうが良いし、入力させるなら間違った場合...
うっかり間違って入力してるの気が付かないと裏で信用が落とされてるかもしれんね。それはそれで怖いわ。 /
そこはセキュリティコードによる強固なセキュリティをしくべきでは?
「入力しない」のチェックボックスがあるから疑問には思っていた。使っていないなら入力項目から外してほしい。
クレジットカードのセキュリティは化石レベル。ギャラリーフェイクで読んだ。 /
他の確認法があるらしいけど、じゃあ入れなくていいという話も…
うーん、説明が悪いのかシステムが悪いのか。例えば文中に書いてあるような、不正使用されやすい商品の場合ならセキュリティコードもチェックする、ならまだ分かるんだけど、そうだとも明確に読み取れない。 / "セキュリティコード間違えたの…"
『 仕組みを広報に聞く』 多要素認証の一つ。券面に番号が記載されている時点でこれだけに依拠するのはリスクが高い。
ヨドバシ.comは元からセキュリティコード省略可能になってるじゃん。必須要件じゃないんだよ。
表に番号、裏にセキュリティコードが書いてあるクレジットカードなんて高画質ビデオカメラをレジに置かれたら番号盗まれ放題なんだと思うんだが。クレジットカードのシステムが成り立っているのが不思議でならない。 / "セキュリティコード間…"
CVC合ってるけど他の要素で弾いた、なら分かるけど逆はえってなるよね /
これをみると、クレカの認証は間違っても購入できる仕組みができるということか。//
そのうちセキュリティコード廃止できそうだな。/  仕組みを広報に聞く(要約) - ねとらぼ
どうせ届け先わかってんだから不正利用のしようがないという事実はあるだろうが、だったら入力させないでほしいね /
そもそもヨドバシのサイトだとセキュリティコード入れないって選択肢取れるのになんでわざわざ入れるの?って思う
セキュリティコードをわざわざカードにアナログ表示する意味がないと思うのだが→
なるほど、ECサイトで使い込んだカードは、それなりに信用されていると。
・PayPal
あたりが標準装備になる素晴らしい時代になるんでしょうね


この事件きっかけに通販サイトは
・Apple Pay
・Google
・LINE Pay
・Amazon
この理屈なら初回利用でセキュリティコード不一致は弾かないとダメだよね?そういう実装になっているのかな🤔
ちょっと論点ズレますが、
こういう独自実装に恐怖を感じているのであれば、PayPalやLINE PayやAmazon Payなどの決済プラットフォームを経由して支払いをする癖を付けましょう。
うーん…なんかヤバくね? 多分ヨドバシ会員情報とかと紐付けかな、と思わなくもないけど、クレカ利用としてはセキュリティコードと一緒に運用がいいと思うんだが。これを機にあちこちのECで見直しがあるかも。 / "セキュリティコード間違…"
セキュリティーコードで本人確認するためのものじゃないんだね_(┐「ε:)_
ヨドバシは多要素認証を入れないと危ないと言うことが分かった。また、これさえクリヤーすればズブズブで危ない、ということも分かった。 /
🧐>本人認証を強固にするためセキュリティコードを求めているが、他の属性でさらに正確な本人認証をしているので安全である、との説明でした。
Amazon (JP) なんてCVVを聞かない上に名前が間違っていても決済通るもんなw。「 - ねとらぼ」
「コード以外の属性で判断してるから大丈夫」拾ったカードで認証しようとすると裏面にコード書いてあるから意味ないのはわかるけどな。
訳が分からない。こういう仕様にする意味が分からないし、かと言って嘘をつく意味も分からない。セキュリティコード間違いで離脱する人が多くてその対策としての仕様変更なら、セキュリティ的にはダメだけど理解はできる。
オプションの項目だし、サイトに依ってはわざわざ「入力する」を選ぶようになっている。
そもそも本人確認のための項目として、信用してないんだろうな。正しい。
いわゆる「リスクベース認証」的なおはなし:
俺もヨドバシ通販で間違えた事があって心配になって電話したら「大丈夫ですよー」って。ただ間違えてると決済スピードがかなり遅い。3時間くらいだったかな…。正しいと決済は秒で終わる。だからまあ意味はある。 …
だったら最初から求めないようにすればいい。不完全なシステムを放置して不安を煽るのはよろしくない。
え、間違えて良いなら要らなくない?w
納得できない説明。 →
クレカ含めた正当性をクレカ会社じゃなくてヨドバシが独自にやってるってこと?オレオレセキュリティはすぐ突破されるイメージしかないんだけど… /
クレジットカードなんもわからん。セキュリティコードの検証はヨドバシの仕事なのか……?
ヨドバシはセキュリティコードの入力不要なのにわざわざ入力して失敗していることをどれくらい重要視するか、という話かなあ。商品による?
間違いでも通してしまうなら、入力させなくて良いのでは…
ヨドバシのECサイト、前に不良品があって苦情言ったら「こっちは人手不足なんです!」って逆ギレされたことある(それは関係ないぞ八つ当たりだ)。
数年前、某サイトでわざと生年月日に虚偽の情報を登録しておいたら、クレカ決済が通らなかったことあった。生年月日に本物の値を入れたら通ったので、そこでカード番号や名義以外もチェックしてることを知った。
セキュリティコードが違っていても決済が通るのは利用していないだけで、何故入力させるのに利用しないかの説明になってないのでは?
>
「聞く必要無くない?」とか言ってる人、セキュリティコードは1つの判断材料なんだよ。未入力誤入力でも大丈夫な人とダメな人がいて、それは本人かどうか複合的に判断する秘密のアルゴリズムを用いて判定してるんだ / "セキュリティコード間…"
他で見てるからといって、セキュリティコード間違えてるのを通してちゃ駄目だろ。
もうクレジットカードの仕組み自体、無理がある。カード会社は一刻も早く3Dセキュア必須にすべき。
間違ってても良い理由がよくわからん🤔
結構しっかりと丁寧に答えているねー
成る程ね、でも、不安にはなるよね。
もっと見る (残り約68件)

記事本文: セキュリティコード間違えたのにクレカ決済できるのはなぜ? ヨドバシECサイトに疑問の声 仕組みを広報に聞く - ねとらぼ

関連記事