スマホ決済「7pay(セブンペイ)」の不正使用問題で、携帯電話を使った2段階認証を行っていなかったことなどに対し、ネット上で疑問や批判が噴出している。
これは、業界団体のガイドラインにも反しており、経産省は、その遵守を業界に求める異例の要請を行った。
2段階認証なしでは、アカウント乗っ取りの危険性
「2段階認証?」。2019年7月4日に行われた緊急会見で、7pay運営会社セブン・ペイの小林強社長は、記者からの質問にこんな戸惑いを見せた。
この認証は、パスワードでの認証に加えて、携帯電話番号によるSMS(ショートメッセージサービス)を利用して本人確認をするものだ。
7payでは、2段階認証を行っていなかったが、会見では、その理由が明確ではなかった。セブン-イレブンのアプリの一機能として7payがあり、この認証と同じ土俵で比べられるか分からないとだけ答えていたからだ。
ところが、ネット上では、2段階認証を使わない決済への異論がIT関係者らから相次いでいる。
使わないと、パスワードが漏洩した場合に、別のスマホを使ってアカウントを乗っ取られ、不正使用されてしまう恐れがあるからだ。
また、セブンのアプリでは、メールアドレスと生年月日、電話番号が分かれば、パスワードを勝手に変えられてしまう恐れも指摘されている。別のアドレスにパスワードのリセットをするためのメールを送ることができる仕様になっており、別のスマホでもパスワードを変えられるわけだ。
このことについて、会見では、携帯メールが使えないパソコンでの利便性を考えたと説明していた。
今回の不正使用について、経産省は7月5日、事態を重く見て、対策の徹底を求める要請を業界に対して行った。
2段階認証ないことが原因かは...「何とも言えません」
セブン-イレブンやセブン・ペイも加入している業界団体のキャッシュレス推進協議会では、別のスマホ決済「PayPay」の不正使用などもあって、バーコード決済サービスの各種ガイドラインを3~4月に定めた。
そこでは、サービスに当たって、利用者のスマホと決済用のアプリを紐づけて管理しなければならないとした。また、アプリを使った決済では、紐づけられた利用者のスマホから行われていることをその都度確認するとしている。
つまり、SMSを使った2段階認証をうたったものだ。
経産省は、協議会にオブザーバー参加しており、このガイドラインが遵守されていなかったとして、協議会のメンバーにその徹底を求めている。
同省のキャッシュレス推進室は7月5日、「今回は、基礎の基礎をやっていなかったということです。2段階認証をしないと、どんなサービスでも危ないことになります」とJ-CASTニュースの取材に答えた。
セブン・ペイが業者登録している金融庁は同日、「会社からは、今回の報告を逐次受けています。被害者への対応や当面の不正利用の防止について万全の措置を取って下さいと指示しました」と取材に話した。
7payの運営に関わるセブン&アイ・ホールディングスは、2段階認証を行っていなかったことなどについて、広報担当者がこう説明した。
「それが今回の原因かどうかは、何とも言えません。一定のセキュリティレベルに対応していましたが、万全だったとは言えないとも考えています。原因については、継続的に調べていますが、調査が終わる時期についてはまだ申し上げられないです」
7payではすでに、チャージや新規登録を停止しているが、チャージ分の決済はできるようになっている。
ネット上では、原因が分かるまでサービスそのものを停止すべきだとの声も多いが、「今後のことは、状況次第ですが、お客さまの利便性を考えてサービスを継続しました」と広報担当者は話している。
(J-CASTニュース編集部 野口博之)