サービス開始から数日で大きくつまずいた「7pay」
セブン-イレブンのセブン&アイ・ホールディングスが運営するスマホ決済「7pay」(セブンペイ)ですが、不正利用が大きく報じられる事態となっています。アプリの仕様のおかしさが指摘される一方、コンビニにQRコード決済を導入すること自体への疑問の声も上がっています。
■サービスの仕様自体に問題か
7月1日に始まった7payは、翌日から不正利用が報告され、3日目にはクレジットカードなど一部のチャージを停止。7月4日には記者会見を開き、7月5日には二段階認証の導入など新たなセキュリティ対策を発表する事態になりました。
この間にもセブン-イレブンの会員IDである「7iD」について、第三者がパスワードをリセットできるなど複数の問題が発見されています。
7月4日の記者会見で7payは、セキュリティ検査の結果として「脆弱性はなかった」と回答しています。たしかにOSやミドルウェアの脆弱性は見つからなかったのかもしれませんが、サービスの仕様自体に問題があったことが疑われています。
その問題とは、ログインの仕組みです。携帯電話のSMS認証などがなく、IDとパスワードさえ分かれば第三者のスマホからもログインできる状態でした。こうしたアカウント情報は過去に流出した数十億件のデータが世界に出回っており、それを順番に試していくリスト型攻撃のターゲットになりえます。
SMSやメールを用いた追加の認証があれば、こうした攻撃の大部分は防ぐことができたはずです。こうした本人確認の必要性は経済産業省がガイドラインとして示しており、7月5日にはあらためて注意を喚起しました。

この連載の記事
- 第265回 アップル製品の「壁」を取り払う新機能に注目 #WWDC22
- 第264回 メガネをかけると大画面? 「Nreal Air」を試した
- 第263回 在庫不足のアップル、コスト増のアマゾン──GAFA決算、各社の課題浮き彫り
- 第262回 出張用のPCやモバイル回線を見直した
- 第261回 アップル「Mac Studio」Mac miniから買い換える価値はある?
- 第260回 楽天モバイル「Apple Watch」は新たな強みになるか
- 第259回 あえて選択肢なくした格安SIM「一択モバイル」が面白い
- 第258回 楽天モバイル 人口カバー率96%でも不安?
- 第257回 貴重な片手スマホ「Rakuten Hand」7000円の大幅値下げ 買ってもいい?
- 第256回 ワクチン接種証明アプリ、使い方の広がりにも注目
- 第255回 アップル新型「MacBook Pro」改善された外部ディスプレイ出力を試す
- この連載の一覧へ