サービス開始から数日で大きくつまずいた「7pay」
セブン-イレブンのセブン&アイ・ホールディングスが運営するスマホ決済「7pay」(セブンペイ)ですが、不正利用が大きく報じられる事態となっています。アプリの仕様のおかしさが指摘される一方、コンビニにQRコード決済を導入すること自体への疑問の声も上がっています。
■サービスの仕様自体に問題か
7月1日に始まった7payは、翌日から不正利用が報告され、3日目にはクレジットカードなど一部のチャージを停止。7月4日には記者会見を開き、7月5日には二段階認証の導入など新たなセキュリティ対策を発表する事態になりました。
7月5日には二段階認証の導入など今後の対策を発表した
この間にもセブン-イレブンの会員IDである「7iD」について、第三者がパスワードをリセットできるなど複数の問題が発見されています。
7月10日時点でも7payは使えるが、新規のチャージは停止されている
7月4日の記者会見で7payは、セキュリティ検査の結果として「脆弱性はなかった」と回答しています。たしかにOSやミドルウェアの脆弱性は見つからなかったのかもしれませんが、サービスの仕様自体に問題があったことが疑われています。
その問題とは、ログインの仕組みです。携帯電話のSMS認証などがなく、IDとパスワードさえ分かれば第三者のスマホからもログインできる状態でした。こうしたアカウント情報は過去に流出した数十億件のデータが世界に出回っており、それを順番に試していくリスト型攻撃のターゲットになりえます。
SMSやメールを用いた追加の認証があれば、こうした攻撃の大部分は防ぐことができたはずです。こうした本人確認の必要性は経済産業省がガイドラインとして示しており、7月5日にはあらためて注意を喚起しました。
この連載の記事
- 第239回 アップル「WWDC21」プライバシーと生産性の両立に注力
- 第238回 KDDIが今からフードデリバリーに力を入れるワケ
- 第237回 アップル新型「iMac」ステイホームを彩る1台
- 第236回 ついに日本で始まる「VisaのApple Pay」タッチ決済の普及に期待
- 第235回 楽天モバイル「iPhone正式対応」で飛躍できるか
- 第234回 アップル春の新製品「M1」体験広がる
- 第233回 楽天ポイントやメルカリも参入、仮想通貨が身近な存在に
- 第232回 スマホとPC、どちらが便利なのか
- 第231回 スマホ新料金「シンプル」の裏側は
- 第230回 新料金プラン「ahamo」「povo」「LINEMO」勝者は?
- 第229回 三井住友カード「ナンバーレス」で誰に見られても大丈夫
- この連載の一覧へ
