セブンペイ、安全性も会見も脆弱な"深刻事態" 「2段階認証」への対応でも批判続出
もう1点、セキュリティー上の欠陥との声が多くあがったのが、セブンペイが既存のセブンーイレブンアプリに機能を追加する形で提供を開始したサービスであるということだ。
元々、セブンーイレブンアプリは、クーポン提供などの機能に限定されていたため、クレジットカードや銀行口座と結びつける必要がなかった。それが今回、決済機能であるセブンペイの機能を追加したため、金融サービスで最も重要なセキュリティー上の配慮が足りないまま、サービスを始めることになったのではという懸念が出ている。
既存のアプリにスマホのバーコード決済機能を追加したスマホ決済サービスとしては、KDDI(au)の「auペイ」があるが、こちらは利用する際にIDをアプリに入力すると、IDに紐付いた携帯電話の番号宛てにSMSが自動送信され、それをクリックすることで利用を始めることができるという2段階認証の機能を備えている。
なぜ自前の決済サービスを導入しようとするのか?
セブンペイの不正利用に関連しては、警視庁新宿署が4日、他人のセブンペイを不正使用してセブンーイレブン店舗から約20万円相当の商品をだましとろうとしたとして、中国籍の男2人を詐欺未遂容疑で逮捕している。警視庁は国際的な犯罪組織が不正アクセスに関与した疑いもあるとみて捜査しているが、犯罪組織から、セブンペイのIDやアプリの仕様にセキュリティー上の甘さがあることに目をつけられた可能性が高い。
今回のセブンペイの不正利用騒動は、昨年12月のペイペイの不正利用騒動と同様、日本のスマホ決済の普及の足かせとなるのは確実だ。
ペイペイの不正利用は、クレジットカード会社にカード所有者本人しか知らない任意のパスワードを事前に登録する「3Dセキュア」を導入していないクレジットカードもチャージに使えるようにしていたことが主な原因。当時、同様の弱点はほかのサービスにもあり、ペイペイの派手なキャンペーンが犯罪組織に狙われた側面もあった。
これに対してセブンペイは、セキュリティー認識不足が最大の原因の可能性が高い。
セブン&アイは、すでに一定程度普及が進んでいるナナコのポイント還元率を引き下げてまでセブンペイへの移行を促し、普及を進める考えだった。いったい、なぜなのか。
セブン&アイに限らず、各社が自前の決済サービスを導入するのは、顧客の購買データを入手すれば、商品開発や販売促進などに生かせるためだ。ただ、セブン&アイでその役割を担ってきたナナコは、日本のスマホ市場の半分を占めるiPhoneで使えない。セブンペイには、iPhoneユーザーを取り込むという大きな狙いがあったとみられる。実際、セブンペイの登録件数は150万件に上り、順調に普及が進むかに見えたところで、派手にコケた格好だ。
競合するスマホ決済事業者幹部はセブンペイの問題点をこう指摘する。
「グループ各社の連携が必要なサービスなのに、情報が分断されていたため、セキュリティーの欠陥を見つけられなかったのではないか」
セブン&アイ本体が主導権を握り、グループ全体でサービス改善を進めない限り、さまざまな課題に対応を急ぐ中で、肝煎りの金融サービスのセブンペイの正常化は望めない。
(ライター/平土令)
