セブンペイ、安全性も会見も脆弱な"深刻事態" 「2段階認証」への対応でも批判続出

ブックマーク

記事をマイページに保存
できます。
無料会員登録はこちら
はこちら

印刷ページの表示はログインが必要です。

無料会員登録はこちら

はこちら

縮小

ネット上では会見での対応に批判が噴出し、炎上状態になった。とくに大炎上したのが、記者から「利用登録時の2段階認証を導入しなかったのがセキュリティーの欠陥では」との質問に対して、小林社長が「2段階認証」を理解していないと思われる反応を見せたことだ。ツイッターには「社長の経歴、ITと関係ない」「登録しなくてよかった」などの声があふれる。

セブン-イレブンアプリの画面。セブンペイについて「カンタン登録 最短2タップでスタート!」と手軽さを前面に押し出している(撮影:写真部・張 溢文)

セブンペイは、銀行口座やクレジットカードから電子マネーをアプリにチャージしたうえで、スマホの画面にバーコードやQRコードを表示させ、レジで読み取ってもらうことで決済ができる仕組みだ。今回はチャージに必要なパスワードが勝手に変更され、第三者のセブンペイにチャージされた電子マネーが不正に使われたとみられる。

2段階認証とは、パスワードを登録したり変更したりするとき、あらかじめ利用者が登録した電話番号宛てにショートメールが送信され、そこに記載されているURLにアクセスすることで初めて登録や変更が可能になる仕組み。登録や変更を試みている人と、その電話番号を使っている人が同一であることをチェックできる。

最近のネット上のサービスでは当たり前になってきているが、セブンペイでは導入されていない。一度登録したパスワードを再設定した際には、登録したメールアドレスにパスワードの変更を伝えるメールが自動送信されるサービスも多いが、その機能もないという。

iPhoneはより危険性が高い

セブンペイの利用には、既存のセブン&アイのサービスと共通の「7iD」を用いる。問題はこの7iDの仕様。2段階認証もパスワード変更の通知機能もないため、登録時とは違う端末やメールアドレスを使ってパスワード変更ができる。

そのため、悪意を持った第三者に登録済みのメールアドレスと電話番号を入手されてしまうと、利用者が知らないうちにパスワードを変更され、乗っ取られてしまうおそれがある。とくにiPhoneなど「iOS」の場合は、再設定時に生年月日を入力する必要もないため、より危険性が高いという。

この仕様について、先行するスマホ決済事業者幹部は「おそらく複数の外部ベンダーが開発したのだと思うが、普通はあんな仕様にはしない。ベンダー各社や社内に問題点を判断できる人材がいなかったのか。お粗末だ」とあきれている。

ツイッターなどでは、同様に2段階認証がない決済サービスとして、JR東日本のモバイルSuica(スイカ)の危険性を指摘するツイートも見られた。ただモバイルスイカはパスワードを再設定するためには、登録したメールアドレスのほかに住所や生年月日も必要となるため、一定のセキュリティーは担保されている。

次ページセキュリティー上のもう1点の欠陥とは?
関連記事
トピックボードAD
ビジネスの人気記事