身に覚えのない「楽天ペイ認証」「PayPay認証」

PayPay パスワードリセット
ある日、スマホのSMSあてに楽天ペイの認証番号を記載したメッセージが届きまして、楽天ペイはやってないしSPAMだろうと思って放って置いたら深夜に電話が。なにやら自動音声で認証番号を読み上げている様子。発信元は「03-6670-6935」で調べたらガチで楽天ペイの電話番号でした。どうなってんの?






楽天ペイに対する攻撃みたいですね

電話番号で検索してみるとこんなコメントが見つかりました。


2019年12月19日 22時05分

楽天ペイからの電話です。 登録時に6桁の認証コードを入力する必要があり、自分の電話番号を送信し、SMSにコードが届きます。
もし認証コードを登録せず、そのまま放置していた場合、10分後、20分後に自動的に電話がかかってきます。
これはSMSに届かなかった場合の保険的な役割です。
自動案内音声なので、楽天のオペレータがかけているわけではありません。

身に覚えがない方は、他人が間違えて電話番号を打った可能性が高いです。(数字が一つ違うだけで別の番号に当て嵌まる事はよくあることです)
なので無視してもらって大丈夫ですし、認証コードを送るために番号を送信されたところで、送信した側のメリットはありません。
(SMSはその間違えた送信者自身には送られない上に、電話番号を基に登録するわけではないので)
間違えられた側としては身に覚えがなく不快ですが、誰かが間違えたと思って無視しましょう。

ただその間違えた人間が何度も間違えたことに気付かず何度もトライしている場合は何度もかかってくることがあるかと思います。
その場合は楽天へ直接問い合わせした方が良いかと思います。

電話番号0366706935は楽天ペイ認証


詐欺だと言って騒いでいるコメントが多数見られますが、正確に言うとこの電話自体は詐欺ではありません。楽天ペイの登録時の正式な手続きです。楽天ペイのお問い合わせページにもそのようなキダイがあります。


「SMS(ショートメッセージサービス)認証」とは何ですか?

楽天ペイアプリの画面上で、お客様にご入力いただいた携帯電話番号宛てに送られるSMS(ショートメッセージサービス)に記載されている認証番号を入力して、ログインする仕組みです。

楽天ペイアプリでは、安全にご利用いただくために、ログイン時に「SMS認証」による二段階認証が必要となる場合がございます。

■ 自動音声での認証番号通知について
楽天ペイアプリに携帯電話番号をご入力いただいた後、認証番号のご入力が確認出来ない場合、10分後に携帯電話に着信の上、自動音声で認証番号を通知いたします。

1回目の着信で通知できない場合、また10分後に再度着信をさせていただきます。

※自動音声での認証番号通知は、「03-6670-6935」から着信がございます。こちらの電話番号は発信専用となっており、お掛け直しいただいてもご利用いただくことはできません。

「SMS(ショートメッセージサービス)認証」とは何ですか? – 楽天ペイアプリ: よくあるご質問


SMSで認証番号を送って認証しないまま時間が経過すると電話で認証番号を通知してくれるというシステムでそれそのものは親切だなあと思うんですけど、問題はこの登録が電話番号さえあれば申請出来るってことです。僕の電話番号がどこかから漏れ(漏れていること自体は別に驚きではない)、それを使って誰かが楽天ペイを登録しようとしたと言うことですね。認証出来ないから無駄なんですけど、なんか迂回方法でもあるんでしょうか。

僕の場合、日常において電話が掛かってくることなんてほとんど全くないので、これが深夜じゃなくてもちょっと気味が悪いです。勘弁してもらいたい。まあ楽天ペイを利用する予定はないし、この電話番号は着信拒否したので今後は電話が掛かってきてギョッとすることはないとは思いますが。やれやれ。



なんて思ってたら翌日PayPayの認証も

で、翌日今度はPayPayから上にある画像のSMSが届きました。パスワードリセットしろっていわれてますけど、僕PayPayも使ってないんですよね……念のためAppStore見てみましたが、インストールしたこともないのでそもそも登録したこともない。

電話番号で検索すると「これはフィッシング詐欺」と断定している人がちらほら見つかりますが、この場合もそれは間違いで、正式なPayPayからのメッセージです。証拠は公式のこのツイート。




このアカウントは公式マークが付いていませんが、PayPayのサイトに記載されているので公式のアカウントで間違いありません。つまりこのメールが届いた場合、フィッシング詐欺を仕掛けられているのではなくて、誰かがあなたの電話番号でログインしようとした、そしてパスワードを再発行しようとしたということです。PayPayのパスワード再発行手順はこちらに記載されています。


PayPayに携帯電話番号とパスワードでログインできない場合は、登録の携帯電話番号でパスワードの再設定が可能です。

ログインできない・パスワード再設定について – PayPay ヘルプ


とはいえまあ、PayPayを使っていない人間にとっては、公式だろうが何だろうが迷惑メールには変わりありませんし、ものすごく気持ち悪いんですけどね。。



電話番号至上主義ってもうちょっとなんとかならんのか

電話番号を個人IDみたいな感じで取り扱うサービス、メルカリなんかもそうですけど結構ありますよね。わからなくはないですけど、電話番号って個人情報でありながら割と雑に扱われてきた情報じゃないですか。昔から使っている電話番号であれば、まず確実にどこかのSPAM業者向け名簿に記載されてますよね。いわゆる「名寄せ」ってやつで収入や職業その他の情報まで記載されてる場合もあります。

クレジットカード番号も似たようなところがありますけど、こちらはセキュリティコードであったり、3D認証であったりある程度は未然に防ぐことが出来てると思うんですけど、電話番号ってそれをサポートする仕組みが全然無いじゃないですか。コアな情報が丸裸でそのままあるっていうね。こういうのをクリティカルなキーに使うのってどうなんだろうなあと常々思っています。まだメール認証の方が安全なんじゃないのかなと。まあ、実際問題、電話番号の認証で悪用を防げてはいるので意味はあるんでしょうが。。


電話番号を使って電話すること自体が無くなりつつあるこの時代、電話番号そのものがなくなる日も近いんじゃないのかなーと今回のことで思いました。ぶっちゃけ要らんよね。なくても何とかなる。