セブンペイ問題「コンビニでQR」自体に疑問の声も

セブンペイ問題「コンビニでQR」自体に疑問の声も

  • ASCII.jp
  • 更新日:2019/07/12
No image

サービス開始から数日で大きくつまずいた「7pay」

セブン-イレブンのセブン&アイ・ホールディングスが運営するスマホ決済「7pay」(セブンペイ)ですが、不正利用が大きく報じられる事態となっています。アプリの仕様のおかしさが指摘される一方、コンビニにQRコード決済を導入すること自体への疑問の声も上がっています。

■サービスの仕様自体に問題か

7月1日に始まった7payは、翌日から不正利用が報告され、3日目にはクレジットカードなど一部のチャージを停止。7月4日には記者会見を開き、7月5日には二段階認証の導入など新たなセキュリティ対策を発表する事態になりました。

No image

7月5日には二段階認証の導入など今後の対策を発表した

この間にもセブン-イレブンの会員IDである「7iD」について、第三者がパスワードをリセットできるなど複数の問題が発見されています。

No image

7月10日時点でも7payは使えるが、新規のチャージは停止されている

7月4日の記者会見で7payは、セキュリティ検査の結果として「脆弱性はなかった」と回答しています。たしかにOSやミドルウェアの脆弱性は見つからなかったのかもしれませんが、サービスの仕様自体に問題があったことが疑われています。

その問題とは、ログインの仕組みです。携帯電話のSMS認証などがなく、IDとパスワードさえ分かれば第三者のスマホからもログインできる状態でした。こうしたアカウント情報は過去に流出した数十億件のデータが世界に出回っており、それを順番に試していくリスト型攻撃のターゲットになりえます。

SMSやメールを用いた追加の認証があれば、こうした攻撃の大部分は防ぐことができたはずです。こうした本人確認の必要性は経済産業省がガイドラインとして示しており、7月5日にはあらためて注意を喚起しました。

■パスワードの使い回しは危険、7payの対策に不備も

こうした決済アプリのユーザーとして気を付けるべき点として、パスワードを使い回さないことが重要です。IDとパスワードはいずれ流出することを前提に、複数のサービスでパスワードを使い回すことは避けるべきです。

7payのアカウントに第三者にログインされた場合、残高を使われたり個人情報を取得される恐れがありました。それでもクレジットカードからのチャージについては、7iDのパスワードとは別の「認証パスワード」が一定の防壁になるはずでした。

これら2つのパスワードは同じ文字列の使い回しができる仕様になっていたことが問題でした。セブン側は7月3日時点でこの問題を認識しており、「不正アクセスされる」恐れについて注意を促しています(7月10日現在、この文書はWebサイトから削除)。

No image

7月3日時点でセブン側も使い回しの問題を認識していた

7iDのパスワードと他社サービスのパスワードの使い回しは、さすがにユーザー側にしか対策できません。しかしセブン-イレブンアプリ内でのパスワードの使い回しは、そういう使い方をする人がいることを想定し、制限を加えるべきだったといえるでしょう。

問題はこれにとどまらず、不正アクセスの被害報告の中には「認証パスワードの使い回しはしていない」ケースも含まれており、より深刻な問題が潜んでいる可能性が指摘されています。この点はセブン側の調査を待ちたいところです。

■利便性とセキュリティの両立を

7payが引き起こした問題は、誰もがよく知っているセブン-イレブンというブランドの知名度も相まって、QRコード決済やスマホ決済、キャッシュレス全体に対する逆風になりそうです。

問題が起きた背景として、7payのセキュリティに大きな不備があったことは明らかですが、セブン側がユーザーの利便性とのバランスを取ろうとした形跡もうかがえます。

セブン-イレブンの店頭で7payが使われる場面を想像すると、アプリの操作が分からない人、残高が足りずにその場でチャージする人もいるでしょう。混雑したレジで多くの人をさばくために、少しでも手順を簡略化したかった気持ちは分かります。

一方で、コンビニを使う理由は必要なものを素早く買いたいからという人も多いはず。すでに海外ではAmazon Goのようにレジを通さずに会計できるお店も出てきており、手間の多いQRコード決済自体への疑問の声も増えています。

業界リーダーであるセブン-イレブンには、利便性とセキュリティを両立した新しい「Pay」体験を期待したいところです。

この記事をお届けした
グノシーの最新ニュース情報を、

でも最新ニュース情報をお届けしています。

外部リンク

IT総合カテゴリの人気記事

グノシーで話題の記事を読もう!
スマホ料金がかなり節約できるかも!IIJが日本初のeSIMサービスを開始
Wi-Fi6対応のエントリールーター「Nighthawk AX4」
Amazonプライムデー、1億7500万点売れて史上最大規模に 人気だった商品は?
オシロスコープの進化は止まらない - 計測界のイノベータを目指すテクトロ
Apple創業者のスティーブ・ウォズニアックが「人々はFacebookから離れるべき」と警告
  • このエントリーをはてなブックマークに追加