156 エッヂの名無し 2025/06/19(木) 21:25:37.016 ID:fRj31SlkJ
何が悪かったか
大きな失点が2点あります。
・ スマホの操作がQRコード2連続スキャンのみで、スキャン後も「連携完了」以上の情報がなく、フィッシングされると何が起きたかわからない
・WINTICKETとPayPayと名義相違していもチェックがない
ちなみにWINTICKET垢新規時に本人確認があるが、銀行口座連携もあるため、連携と本人確認に対応した銀行口座を飛ばしで入手すれば実現可能です。
また、QRコードを無用意に読むな、と言っても、ボタン操作一つもなしで連携完了するUIはあまり経験ない方が大半だと思います。
ここで一度「WINTICKETへ連携しますか」と聞くだけでかなりの確率で止められたと思います。その意味でUIがかなり悪いと思います。
店頭など、PayPayアプリで自身の管理外のQRコードをスキャンすることは日常的に行われるため、その後確認を挟まない実装はかなり良くないです。