「セブンペイ」不正利用、iPhoneのほうが危険!? 安全性も会見も「脆弱」な深刻事態 (2/4) 〈AERA〉|AERA dot. (アエラドット)

AERA dot.

「セブンペイ」不正利用、iPhoneのほうが危険!? 安全性も会見も「脆弱」な深刻事態

このエントリーをはてなブックマークに追加
平土 令AERA
セブンペイの不正アクセス問題で記者会見する運営会社の小林強社長(奥中央)ら/7月4日、東京都千代田区(c)朝日新聞社

セブンペイの不正アクセス問題で記者会見する運営会社の小林強社長(奥中央)ら/7月4日、東京都千代田区(c)朝日新聞社

セブン-イレブンアプリの画面。セブンペイについて「カンタン登録 最短2タップでスタート!」と手軽さを前面に押し出している(撮影/写真部・張 溢文)

セブン-イレブンアプリの画面。セブンペイについて「カンタン登録 最短2タップでスタート!」と手軽さを前面に押し出している(撮影/写真部・張 溢文)

 ネット上では会見での対応に批判が噴出し、炎上状態になった。特に大炎上したのが、記者から「利用登録時の2段階認証を導入しなかったのがセキュリティーの欠陥では」との質問に対して、小林社長が「2段階認証」を理解していないと思われる反応を見せたことだ。ツイッターには「社長の経歴、ITと関係ない」「登録しなくてよかった」などの声があふれる。

 セブンペイは、銀行口座やクレジットカードから電子マネーをアプリにチャージした上で、スマホの画面にバーコードやQRコードを表示させ、レジで読み取ってもらうことで決済ができる仕組みだ。今回はチャージに必要なパスワードが勝手に変更され、第三者のセブンペイにチャージされた電子マネーが不正に使われたとみられる。

 2段階認証とは、パスワードを登録したり変更したりするとき、あらかじめ利用者が登録した電話番号宛てにショートメールが送信され、そこに記載されているURLにアクセスすることで初めて登録や変更が可能になる仕組み。登録や変更を試みている人と、その電話番号を使っている人が同一であることをチェックできる。

 最近のネット上のサービスでは当たり前になってきているが、セブンペイでは導入されていない。一度登録したパスワードを再設定した際には、登録したメールアドレスにパスワードの変更を伝えるメールが自動送信されるサービスも多いが、その機能もないという。

 セブンペイの利用には、既存のセブン&アイのサービスと共通の「7iD」を用いる。問題はこの7iDの仕様。2段階認証もパスワード変更の通知機能もないため、登録時とは違う端末やメールアドレスを使ってパスワード変更ができる。

 そのため、悪意を持った第三者に登録済みのメールアドレスと電話番号を入手されてしまうと、利用者が知らないうちにパスワードを変更され、乗っ取られてしまうおそれがある。特にiPhoneなど「iOS」の場合は、再設定時に生年月日を入力する必要もないため、より危険性が高いという。


トップにもどる AERA記事一覧

おすすめの記事おすすめの記事
関連記事関連記事

あわせて読みたい あわせて読みたい