PayPayからのお知らせ
一部SNSにてご指摘いただいたQRコードの仕様に対する修正について
2018年12月21日 お知らせ
いつもPayPayをご利用いただき、ありがとうございます。個人間送金(譲渡)機能で表示するQRコード(マイコード)において、金額を指定する使い方の場合、指定した金額を第三者が改ざんできる仕様ではないかと、一部SNSにて指摘がございました。
この点を検証したところ、改ざんをされても送金(譲渡)した残高を第三者が略取することはできないことが判明いたしましたが、万全を期すため、本日機能の修正を行いました。現在、本件に関する被害の報告はありません。
なお、個人間送金(譲渡)機能の使用方法に変更はございません。
弊社では今後も、安全・安心なサービスの運用に向けて全力で取り組んでいきます。
togetter
PayPayさん、決済用のQRコードもガバガバだった「これ詐欺サイト作られるよ」
うおっ、公式から「問題はないが念のため仕様変えときました」だってさ。https://t.co/UIdQ0p6zk0
ホント変わってるwwww。金額が平文じゃない。 pic.twitter.com/jnZe50MPML
— 茂田カツノリ@IoTコンサル(5/23-24BluetoothAsia@深圳) (@shigezo) December 21, 2018
ちなみに最新アプリで旧来の金額平文なQRを読んでも送金はできた。
そうね、別段これ自体が脆弱性ということではないし
「気持ち悪いという指摘は確かだから今後生成されるQRについては金額も素では書かないことにした。でも旧形式QRも使えはする」
という措置は妥当すぎて頭下がる。
— 茂田カツノリ@IoTコンサル(5/23-24BluetoothAsia@深圳) (@shigezo) December 21, 2018
ふーん、そんな指摘した人誰だろ…。 https://t.co/CubdBQTR6a
— 茂田カツノリ@IoTコンサル(5/23-24BluetoothAsia@深圳) (@shigezo) December 21, 2018
PayPayの「金額指定お金受け取り」QRって単純すぎて怖い。
https://qr.paypay.ne.jp/暗号化されたユーザID?session_id=セッションID&amount=金額
なので簡単に作れた。
ちなみにWeChat Payは
wxp://f2f1gLFd0RG(中略)776AI8DQV0
と金額も含め暗号化されててる。普通はこうだよね。 pic.twitter.com/AHD6aNzbaF— 茂田カツノリ@IoTコンサル(5/23-24BluetoothAsia@深圳) (@shigezo) December 20, 2018