サービス開始から数日で大きくつまずいた「7pay」
セブン-イレブンのセブン&アイ・ホールディングスが運営するスマホ決済「7pay」(セブンペイ)ですが、不正利用が大きく報じられる事態となっています。アプリの仕様のおかしさが指摘される一方、コンビニにQRコード決済を導入すること自体への疑問の声も上がっています。
■サービスの仕様自体に問題か
7月1日に始まった7payは、翌日から不正利用が報告され、3日目にはクレジットカードなど一部のチャージを停止。7月4日には記者会見を開き、7月5日には二段階認証の導入など新たなセキュリティ対策を発表する事態になりました。
7月5日には二段階認証の導入など今後の対策を発表した
この間にもセブン-イレブンの会員IDである「7iD」について、第三者がパスワードをリセットできるなど複数の問題が発見されています。
7月10日時点でも7payは使えるが、新規のチャージは停止されている
7月4日の記者会見で7payは、セキュリティ検査の結果として「脆弱性はなかった」と回答しています。たしかにOSやミドルウェアの脆弱性は見つからなかったのかもしれませんが、サービスの仕様自体に問題があったことが疑われています。
その問題とは、ログインの仕組みです。携帯電話のSMS認証などがなく、IDとパスワードさえ分かれば第三者のスマホからもログインできる状態でした。こうしたアカウント情報は過去に流出した数十億件のデータが世界に出回っており、それを順番に試していくリスト型攻撃のターゲットになりえます。
SMSやメールを用いた追加の認証があれば、こうした攻撃の大部分は防ぐことができたはずです。こうした本人確認の必要性は経済産業省がガイドラインとして示しており、7月5日にはあらためて注意を喚起しました。
この連載の記事
- 第214回 iPhone 12に「ない」ものは?
- 第213回 携帯料金値下げ「格安無制限」は実現するか
- 第212回 au、iPhone 5G対応に万全の備え
- 第211回 Apple Watch SEはステイホーム時代も売れ続けるか
- 第210回 「ドコモ口座」問題で問われる、本人確認のあり方
- 第209回 2万円台から買える「Chromebook」日本でも普及の兆し
- 第208回 アップル「iPhone SE」売れすぎで弊害も
- 第207回 ソニーXperia、SIMフリーに本気
- 第206回 グーグル「Pixel 4a」はiPhone SEの勢いを止められるか
- 第205回 なぜジャパンネット銀行は「PayPay銀行」になるのか
- 第204回 政府が進める「ワーケーション」休暇中にまで働く意味とは
- この連載の一覧へ
![休校中に役立つ無料・お得情報まとめ[3月25日更新]](https://ascii.jp/img/2020/03/11/3020705/s/0530363bd7d841b0.jpg "休校中に役立つ無料・お得情報まとめ[3月25日更新]")
