PayPayが加盟店情報の流出を発表。僕は一般ユーザ側だけどパスワード変更しといた

QRコード決済サービスの「PayPay」でサーバが不正アクセスの被害を受けたんですって。被害は「加盟店情報」だったみたいなんだけど、とりあえず僕はパス変更しときました。

約2007万件の加盟店情報が流出の恐れ。原因はアクセス権限の設定不備

PayPayによるとブラジルからのアクセス履歴があり、最大で20,076,016件が被害を受けた可能性があるとのことです。

2020年12月1日に外部からの連絡に基づき、当社管理サーバーにある、加盟店に関する営業情報のアクセス履歴について調査したところ、11月28日にブラジルからのアクセス履歴を1件確認、12月3日までに遮断する措置を実施しました。現時点で、これらの情報が利用された事実はありません。

原因は、当該情報へのアクセス権限の設定不備です。（不備のあった期間：2020年10月18日～12月3日）

当社管理サーバーのアクセス履歴について

不正なアクセスは加盟店情報でユーザ情報ではなかったのですが、原因の「アクセス権限の設定不備」はどういうことなんでしょうかね。単純にアクセス権限の設定を忘れて簡単にデータにアクセスできるようになっていたとか？

この発表内容を見た時「PayPay側にも少なからず非があるのでは？」と思っちゃいました。

ユーザ側の不正アクセスの対策と被害に遭ったときのにやること

今回は被害が加盟店だったんですが、こういった不正アクセスによるデータ流出はユーザ側もいつ起こるか分からんので、事前の対策と被害に遭ったときのフローを残しておきます。

まず、どんなサービスでも基本的に2段階認証は設定しとこう。SMS認証などを設定しているだけで不正アクセス時に屈強なプロテクトになります。

PayPayに関しては新規登録するときや別のデバイスからログインする場合はSMS認証しないとログインできないようになってます。

で、実際に利用しているサービスでユーザ情報の不正アクセスに遭った！という時は、

1. パスワードを変更する
2. 不正利用されていないか確認する
3. もし、不正利用されていたらサービス利用を停止する

こんな感じで動いてます。

不正アクセスによる実害は心配ではあるんですが、まずは流出した情報でログイン出来ないようにパスワード変更するのが最優先です。

どんなに屈強なパスワードを設定していても、それがまるごと流出してるんなら意味ないですからね。もう突破されたようなもん。なのでパスワード変更は最優先。

パスワードを変更したら不正アクセスで実害に遭っているか確認するのが僕のパターンです。あと、住所とか流出している場合は変な荷物が届いてないか、DMが増えてないかとしばらく気にしてみてますね。

ちなみにですが、こういった不正アクセスって初回の発表後に「調査を進めていたら他にも流出してましたごめんなさい」的なこともあるんで、僕はとりあえずPayPayのパスワード変更しときました。

PayPayは僕もQRコード決済のメインとして使ってるので続報が入ったらお伝えしますね。