【炎上】7Pay(セブンペイ)、開始早々の不正利用で緊急会見!二段階アクセスすら知らない社長の下で開発された脆弱なアプリであることが判明

キャッシュレス
スポンサーリンク

先日、7月1日から開始されたスマホのバーコード決済サービス「7Pay(セブンペイ)」ですが、サービス開始からわずか3日で不正チャージや不正利用が発覚し、使用される事態となりました。そこで緊急記者会見が開かれるなど対応しましたが、その際の担当者が酷いとSNSで炎上しております。

モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題で、セブン&アイ・ホールディングスは7月4日、緊急会見を開いた。被害額は全額補償するという。運営元のセブン・ペイ小林強社長は「詳細については調査中。いろいろな角度から精査しないといけない」と語ったが、全体を通してセブン&アイ側の“認識の甘さ”が垣間見えた会見だった。

セブン&アイグループによる試算によると、不正アクセスの被害者は約900人、被害額の合計は約5500万円に上るとのことです。
今回の事件で特に問題視されているのが、「パスワードリセットの仕様」だ。7payは「セブン-イレブン」アプリに実装された決済機能。「生年月日」「電話番号」「会員ID(メールアドレス)」の情報があれば第三者がパスワードを変更できる状態で、SMS認証など二段階認証も設定されていなかった。
また、パスワードリセットのメールは、登録時とは別のアドレスに送信できる仕様だった。ネットでは「あまりにお粗末」「致命的な弱点」など批判が相次いだ。これに対し、セブン&アイの清水健執行役員は「あらゆるサービスについて、事前にセキュリティ審査をやっている。7payもきちんと確認したが、脆弱性(ぜいじゃくせい)はなかった」と繰り返し強調した。しかし、小林社長は二段階認証というものの存在すら知らなかった様子で、大炎上となってしまいました。

「7Pay(セブンペイ)」は、おにぎりが無料になるクーポンなど、とてもお得なキャンペーンをしていましたが、如何せんセブンイレブンでしか利用できないというのがデメリットで、私はコンビニをほとんど利用しないため、登録しておりませんでした。せめて、セブン&アイグループのイトーヨーカドーなどで利用できるようになってからリリースすべきではないかと感じたのは私だけではないはずです。そんな中で今回のような脆弱性が見つかったとあれば、本格的にリリースのタイミングが早すぎたのでは?という話になります。

第一、問題は前述しているように最近では個人情報登録の際には基本中の基本となっているSMS認証などを利用した二段階認証が設定されていなかったという点。また、必要最低限の情報で登録アドレス以外のアドレスにパスワード変更メールが飛んでしまうという点です。
必要な情報は「生年月日」「電話番号」「メールアドレス」の3つですが、生年月日は、未登録でも進めることが可能で、未登録とした場合、「2019/01/01」に誕生日が自動設定されてしまうようです。さらにメールアドレスも登録アドレス以外のアドレスに再設定メールを飛ばすことができることから、極論電話番号さえ分かれば不正アクセスができてしまうのだ。

近年、急激にコード決済サービスが増殖してきていますが、こう言った危険なサービスも一部紛れ込んでしまっているというのは事実です。実質の大幅値下げキャンペーンに釣られて、個人情報の流出を許してしまっては元も子もありません。そもそも、安さを求めるのであれば、定価売りのコンビニで買い物をするというのも矛盾が生じており、7Pay(セブンペイ)はまだ利用価値がそれほどあるものではなかったと言えるでしょう。セキュリティの脆弱性がイメージに相当の悪影響を与えてしまうことから、7Pay(セブンペイ)が覇権を握るのは難しくなったように思います。

現在は乱立しているバーコード決済サービスもいずれは落ち着くでしょうし、取って代わったサービスが現れるかもしれません。まあとにかく、決済サービスの重要性は利用可能店舗と種類の多さにかかっている部分もありますので、今後が有望なのはやはり

・PayPay
・LINE Pay
・Origami Pay

くらいではないでしょうか?利用可能店舗で言えば、PayPayが相当リードしている印象です。

今回のように安いだけですぐに飛びつくと痛い目に合うこともあることから、一旦退いて自分にとって本当に必要なサービスなのか?というところをよくお考えになった方が良いかもしれません。それが返って、無駄遣いを防ぐことに繋がることになるでしょう。

↓ポチっとワンクリックよろしくお願いします!

にほんブログ村 株ブログ 米国株へ
にほんブログ村

↓こちらもワンクリックいただけると嬉しいです!

タイトルとURLをコピーしました