TOP > ネタ・話題 > セキュリティコード間違えたのにクレカ決済できるのはなぜ? ヨドバシECサイトに疑問の声 仕組みを広報に聞く - ねとらぼ

セキュリティコード間違えたのにクレカ決済できるのはなぜ? ヨドバシECサイトに疑問の声 仕組みを広報に聞く - ねとらぼ

223コメント 登録日時:2018-12-19 17:48 | ねとらぼキャッシュ

「ヨドバシ・ドット・コム」のクレジット決済で「セキュリティコード」を間違えても本人認証されてしまう事象に不安を覚える声が。認証の仕組みについてヨドバシカメラ広報部に取材しました。...

ツイッターのコメント(223)

@nandemo_seisaku 以前話題になってましたが、間違えても大丈夫になってるらしいです。
こんな記事が。

でもこれ不正ログインされたあとの初回決済だと通ってしまうのでは……?
ヤマダ電機は保存する必要の無いセキュリティコードをなんで保存してたんだろうかってのと
去年のPayPay祭りでのヨドバシの事例
@PlumTheGoodman こういう事らしい。
"セキュリティコードが間違っていても、他の属性でカード会社と本人利用の確認が取れれば決済できるようにしております。"
いや、おかしいでしょう
頑張って作文した感が…。 |
“セキュリティコードが間違っていても、他の属性でカード会社と本人利用の確認が取れれば決済できるようにしております” /  仕組みを広報に聞く…”
「入力いただく情報“以外”の属性で、正確に本人認証できる仕組み」←へー。
うむ。某製品のログインも実はフェールワンス入れてるのでは?という動作のことが多い /
バッテリー交換以外にも用事あるのに外からチェックできないのは面倒くさいなあ。明細書が届くまでわからないのか、
本人確認の一要素だからだって。へー。知らなかった。:
じゃぁ入力項目から外せよって話だよねw
いや、入力間違ってたらはじけよ 他の情報と総合的に判断とか要らないから 不正利用されて気が付かなかったら、損害受けるのはカード所有者だぞ?
本人かどうかの確認は多面的にやってる
セキュリティコードはカードに書いてあるしセキュアじゃない

なるほどなぁー
セキュリティコ-ド間違えたのにクレカ決済できるのはなぜ?
これおもしろいね、
そもそもヨドバシ、セキュリティコードをいれるか入れないかを選べるんだよね、
... 多要素認証。"そのため弊サイトのクレジット決済ではお客さまに入力いただく情報“以外”の属性で、正確に本人認証できる仕組みを作っております"
なんか、店頭で店員さんに説明されている感。脳内再生余裕だった:
他の要素…少なくともカード会社とのやり取りは行われていると推測。
セキュリティコードを求めない他サイトもそういうことか
観測中・・・「基本的に本人認証では『多要素認証』の形をとらせていただいております」「入力いただく情報“以外”の属性で、正確に本人認証できる」:『 仕組みを広報に聞く:ねとらぼ』
一回はわざと間違える必要がでてきた?
私、前エクスペディアで飛行機予約した時、セキュリティコード間違えて支払いしたのに、結局ちゃんとできてて、なんだったんだと思ったことがあったんだけど、こういうことだったのね。
「一般論として、カード番号やセキュリティコードはいろいろな方法で手に入ることが可能で、手に入れた人物からアタックを受けるショッピングサイトはたくさんあります」
ねとらぼはサイト運営者と決済事業者の区別がつかないの?
“セキュリティコードは暗証番号とは違って券面に書かれており、本人確認の上で必須条件ではない”はぁ(;´Д`)? /
知らんのか??
たしかにヨドバシセキュリティコード間違えても買えるし、もっと言えば入力しなくても買えることを。
ただしその場合審査に時間かかることを。
ほえー、そうなんや。 /
丸見えのセキュリティコードを暗証番号的に扱うサイトが多くて疑問に思ってた。

ねとらぼ: 仕組みを広報に聞く.
んーでもとりあえず書いておく。とはいえセキュリティーコードのセキュリティーってどうなの、とは思うけど(全部3Dセキュアならわかる) /  仕…”
クレカ、今まで崩壊してないのが凄い(気づかれてない不正利用多そう)
圧倒的な便利さがあれば、多少のセキュリティリスクがあっても、、なのか?
なら聞くな!余計な情報入力はそれ自体がセキュリティーリスクだ! ーー 「セキュリティコードが間違っていても、他の属性でカード会社と本人利用の確認が取れれば決済できるようにしております。」
そうするとヨドバシの「正確に本人認証できる仕組み」が正しく機能しているか、が問題になるわけだけど、今度はそれが外部から検証できないことが問題なのでは。
🤔本人確認はカード会社次第なんたね
車にチェックつけろみたいな人間テストで実は適当にやってもokだったみたいな話 /
要はあのセキュリティコード入力欄、完全に形だけのものだったのか。いちいち律儀に入力してたのだが…。 /
セキュリティコードと言葉でいうほど安全ではないのだよ(震え声) :
これはこれでダメでしょーよ
「入力しない」ってチェックボックス見かけるのもこれか。妥当には思える。 /
「いま決済している人」が「過去に購買履歴がある人」と同一であるということは確認できないでしょ? 何言ってんだろ /
多要素認証してるから?ならセキュリティコード自体要らないよね?馬鹿なの?

❝ - ねとらぼ❞
いやダメでしょ。必要のない情報を入力させるなという話でもあるし、間違った入力で正常終了しちゃだめでしょという話でもあり
じゃあ、なんで入力させるのかというのの説明になっていない /
ヨドバシもやべぇじゃねーか!と思ったら「入力情報以外の属性でも確認している」とのこと。へ〜。
セキュリティコードの意味とはいったい……。/“弊サイトのクレジット決済ではお客さまに入力いただく情報“以外”の属性で、正確に本人認証できる仕組みを作っております” /  …”
えっ・・・?|
「入力しなくても通る」ならともかく「間違っていても通る」はUX的にダメなのでは。多分セキュリティコード総当たり攻撃とかに対処していった結果この謎挙動になったのだと思うが… / “セキュリティコード間違えたのにクレカ決済できるのは…”
ふむー
NowBrowsing: - ねとらぼ:
必須でないのなら入力めんどくさいのだが……。:
セキュリティコード間違えても通す、という設計思想がそもそも間違ってる。ヨドバシはもう使わないようにしよう。
そもそもヨドバシ、セキュリティコードも入力しないって言う選択肢あるしねえ

Now Browsing: -
いくつかある認証のうち1つでも突破できたら認証通すって多要素認証とは呼ばないと思うんですけど
“ セキュリティコードが間違っていても、他の属性でカード会社と本人利用の確認が取れれば決済できるようにしております ”

本人確認の上で必須ではないと。

セキュリティコード間違えたのにクレカ決済できるのはなぜ?
オリガミペイでセキュリティコード違ってもカード登録できたのはこういうことか! /
じゃあ何のために入力するのかというと微妙な場合に電話がかかってくるか電話なしで発送されるかの違いだなたぶん。 / - …”
セキュリティコードを間違ったときにはエラーにすべきじゃ・・・と一瞬思ったけど、妥当性の判断が担保されたうえでの、否定した箇所を推定させないためね。
しらなかった
「多要素認証」か…。
何となく察しはつくけど、こういう柔軟なシステム、すごく興味がある。
いらないけど入力させてましたって、ECサイトの使用を疑いたくなる話
この言い訳はどうなんだ?


何のためのセキュリティコード入力なんだろう?
ECサイトとしてのヨドバシがセキュリティコードチェックをスルーするのは良いとして、カード会社の決済が通ってしまうのはどういう事だろうか?

カード会社としてのヨドバシの話か? でないとすれば、私は全く思い違いをしていたのかもしれない。
Amazonも通常の決済時にはセキュリティコード要らないが、この前受取先をいつもの店と違うコンビニに指定した時にはセキュリティコードを要求された。ヨドも尼もケースバイケースで使い分けてるのだろう / “セキュリティコード間違えた…”
ヨドバシ・ドット・コム民なので不安になって読んでしまった
多分、裏で使ってる決済システムがセキュリティコードに対応してないんだろうなー。
ヨドバシもかよ…と思ったがそういう話でもないっぽい
セキュリティコードを使わないこともある、と言ってるだけで、使わないとは言ってないとおもうのだが。 /
後回しにしてた二段階認証の設定とかを進めておこう。
ヨドバシドットコム、セキュリティーコード(以下「コード」)案件。
ヨドバシでクレジットカードの使用時、コード以外も確認して認証を行っている。だからほかの属性(住所や電話番号)に問題がなければ、コードが違っても決済が行われる。
どうであれ、ヨドバシの通販を使い続けるんだけど /
たしかに。百貨店とかでは裏に持っていかれるしね。 “セキュリティコードは暗証番号とは違って券面に書かれており” /
「無いよりはあった方がいいですよね」という論理でザルい認証が追加されては、ユーザーがそれを尊いものと誤認する昔からある光景 /  仕組みを広…”
「お客さまに入力いただく情報“以外”の属性で、正確に本人認証できる仕組みを作っております」本当かなあ。
へぇ。
知らなかった。
入力しないオプションがあるのいつも謎だったけどそういうことなの?でもそうなるとセキュリティコードとは…となる
あーそういえば入力を省略するオプションあったな。なら、最初からセキュリティコード要らないのでは…? /
オチから言うと、多要素認証だからコードを間違えても通すことがあるということらしい
実際、カード落としたらコードも一緒にバレるもんな
「使う場合も使わない場合もある」は「セキュリティコード」という言葉から受ける印象から乖離してる気がしてどうかと……必ず使ってかつ合っていても別の理由でで弾くこともある、なら分かりますが / “セキュリティコード間違えたのにクレカ…”
合理的だと思うけど、ウェブサイトの仕様として妥当かというとなんとも言えない /
間違えたら止める、でどれくらい機会損失になんのかしら /
店員さんの回答が模範解答だけど素晴らしい /
逆に言うと、セキュリティコードが合っていても通らんときは通らん、と。別に普通だな。
正しい所有者がセキュリティコードが間違う可能性はけっこうあって、いちいちエラー出してるとサポートやクレームのコストがかかるとか?:
仕組みを広報 ...
現在のヨドバシは、わざわざ手間をかけさせたうえにセキュリティは強固にならず、コード漏洩のリスクがあるという最悪の状態。今後は正しいコードの入力を必須にするか、もしくは入力欄を撤廃するべき。 / “セキュリティコード間違えたのにク…”
セキュリティコードとか店側は一切信用してないからな //
自分で落とし穴深く掘ってどうするの
スパム判定的なロジックで総合的に怪しいものを撥ねるってことか。そもそも信販会社側で受け付けてるんだから、ヨドバシとしては経済合理的に判断すればいいんだろう。 /  ヨドバ…”
セキュリティコードの有無でカード会社への手数料が変わると聞いた気が。ネットの場合、不正使用の損害は店舗側が負うらしく、そのリスクとのバランスかな。PayPay での悪用は、当然 PayPay が負担するしかないよね? / “セキ…”
PS4をヨドバシドットコムで衝動買いした時にセキュリティコード間違えて入れたのに決済されたので届くか不安だった。
じゃあ入力させるなとしか言いようがないのでは /
んー、あまり良くないと思うけどな
自分もヨドコムでセキュリティコード間違えて買えた事あるわー
うーん、セキュリティホールを頑張って正当化しているだけのような。。
多要素認証の観点は理解できるけどそもそも顧客が不安に思う仕様はどうかと思う
なら聞かない方が良いのでは?スパイウェアで通信内容抜かれて正しいセキュリティコードとカード番号が揃って奪われる可能性だってあるのでは?ていうか3Dセキュア使おうよ。
言いたいことはわかるけどIFは微妙。例えばAmazon ならクレカの初回登録時のみセキュリティーカードを要求してたはず /  仕組みを広報に…”
完璧な取材と答え。ヨドバシのカード認証に微妙なタイムラグがあるのはそういう事か。
もっと見る (残り約123件)

記事本文: セキュリティコード間違えたのにクレカ決済できるのはなぜ? ヨドバシECサイトに疑問の声 仕組みを広報に聞く - ねとらぼ

いま話題の記事