セブンペイ、安全性も会見も脆弱な"深刻事態" 「2段階認証」への対応でも批判続出
ネット上では会見での対応に批判が噴出し、炎上状態になった。とくに大炎上したのが、記者から「利用登録時の2段階認証を導入しなかったのがセキュリティーの欠陥では」との質問に対して、小林社長が「2段階認証」を理解していないと思われる反応を見せたことだ。ツイッターには「社長の経歴、ITと関係ない」「登録しなくてよかった」などの声があふれる。
セブンペイは、銀行口座やクレジットカードから電子マネーをアプリにチャージしたうえで、スマホの画面にバーコードやQRコードを表示させ、レジで読み取ってもらうことで決済ができる仕組みだ。今回はチャージに必要なパスワードが勝手に変更され、第三者のセブンペイにチャージされた電子マネーが不正に使われたとみられる。
2段階認証とは、パスワードを登録したり変更したりするとき、あらかじめ利用者が登録した電話番号宛てにショートメールが送信され、そこに記載されているURLにアクセスすることで初めて登録や変更が可能になる仕組み。登録や変更を試みている人と、その電話番号を使っている人が同一であることをチェックできる。
最近のネット上のサービスでは当たり前になってきているが、セブンペイでは導入されていない。一度登録したパスワードを再設定した際には、登録したメールアドレスにパスワードの変更を伝えるメールが自動送信されるサービスも多いが、その機能もないという。
iPhoneはより危険性が高い
セブンペイの利用には、既存のセブン&アイのサービスと共通の「7iD」を用いる。問題はこの7iDの仕様。2段階認証もパスワード変更の通知機能もないため、登録時とは違う端末やメールアドレスを使ってパスワード変更ができる。
そのため、悪意を持った第三者に登録済みのメールアドレスと電話番号を入手されてしまうと、利用者が知らないうちにパスワードを変更され、乗っ取られてしまうおそれがある。とくにiPhoneなど「iOS」の場合は、再設定時に生年月日を入力する必要もないため、より危険性が高いという。
この仕様について、先行するスマホ決済事業者幹部は「おそらく複数の外部ベンダーが開発したのだと思うが、普通はあんな仕様にはしない。ベンダー各社や社内に問題点を判断できる人材がいなかったのか。お粗末だ」とあきれている。
ツイッターなどでは、同様に2段階認証がない決済サービスとして、JR東日本のモバイルSuica(スイカ)の危険性を指摘するツイートも見られた。ただモバイルスイカはパスワードを再設定するためには、登録したメールアドレスのほかに住所や生年月日も必要となるため、一定のセキュリティーは担保されている。