この仕様について、先行するスマホ決済事業者幹部は「おそらく複数の外部ベンダーが開発したのだと思うが、普通はあんな仕様にはしない。ベンダー各社や社内に問題点を判断できる人材がいなかったのか。お粗末だ」とあきれている。

 ツイッターなどでは、同様に2段階認証がない決済サービスとして、JR東日本のモバイルSuica(スイカ)の危険性を指摘するツイートも見られた。ただモバイルスイカはパスワードを再設定するためには、登録したメールアドレスのほかに住所や生年月日も必要となるため、一定のセキュリティーは担保されている。

 もう一点、セキュリティー上の欠陥との声が多くあがったのが、セブンペイが既存のセブン-イレブンアプリに機能を追加する形で提供を開始したサービスであるということだ。

 元々、セブン-イレブンアプリは、クーポン提供などの機能に限定されていたため、クレジットカードや銀行口座と結びつける必要がなかった。それが今回、決済機能であるセブンペイの機能を追加したため、金融サービスで最も重要なセキュリティー上の配慮が足りないまま、サービスを始めることになったのではという懸念が出ている。

 既存のアプリにスマホのバーコード決済機能を追加したスマホ決済サービスとしては、KDDI(au)の「auペイ」があるが、こちらは利用する際にIDをアプリに入力すると、IDに紐付いた携帯電話の番号宛てにSMSが自動送信され、それをクリックすることで利用を始めることができるという2段階認証の機能を備えている。

 セブンペイの不正利用に関連しては、警視庁新宿署が4日、他人のセブンペイを不正使用してセブン-イレブン店舗から約20万円相当の商品をだましとろうとしたとして、中国籍の男2人を詐欺未遂容疑で逮捕している。警視庁は国際的な犯罪組織が不正アクセスに関与した疑いもあるとみて捜査しているが、犯罪組織から、セブンペイのIDやアプリの仕様にセキュリティー上の甘さがあることに目をつけられた可能性が高い。

次のページ