セブンペイ問題で「IDとパスワードの限界」を感じた

文●石川温

2019年07月11日 16時00分

  • このエントリーをはてなブックマークに追加

 先週、コンビニ大手セブン-イレブンのQRコード決済サービス「7pay」で不正アクセスが発覚。運営会社セブン・ペイの発表では900人、5500万円の被害があった。今後この数字は拡大していく可能性もある。

 7payにおいては、本人確認がずさんで、SMSを使った2段階認証が導入されていなかったり、名前と誕生日、メールアドレスの情報があればパスワードがリセットできたり、さらにそのメールを別の宛先に送れるなどの脆弱性が指摘されている。

 また、そもそも7payではなくセブン&アイの総合通販サイト「オムニ7」に問題があったという声もある。いずれにしても、セブン&アイとしては早期に原因を究明し、セキュリティ対策を強化、オムニ7全体の戦略を立て直す必要があるだろう。

 7payの不正アクセスでは、何者かがユーザーになりすましてログイン。登録してあったクレジットカードでチャージして、店頭でタバコなどの高額商品を購入したとされる。不正アクセスをする際、どうやってユーザーのIDとパスワードを入手したかが不明だが、一般的には「闇サイト」で入手したと考えるのが自然だ(ただし、被害者の中には他のサービスのパスワードを流用していないという人もおり、闇サイト流出説も怪しいところがある)。

●パスワードを変えろというが

 では、今回の騒動を受けて、我々ユーザーはどのような行動を起こせばいいのか。よく言われるのが「アプリやサービスごとに違ったパスワードを設定する」という対処法だ。闇サイトに流出しているIDとパスワードを流用するから不正アクセスされてしまうのであれば「サービスごとに違うパスワードで防ごう」というわけだ。

 しかし、何十、下手をしたら何百とあるウェブサービスやアプリごとに違うパスワードを設定するというのは、確かに理想的な方法ではあるが、現実的は言いがたい。パスワードのパターンを考えるのも限界があるし、すべてをおぼえておくには無理がある。

 パスワードの設定も、サービスやアプリによっては「大文字と小文字を混ぜろ」とか「記号も入れろ」「定期的に変更しろ」といったルールもある。最近では「小文字や大文字、記号を混ぜても、セキュリティ的に意味はない」という指摘もあるなど、IDとパスワードという仕組み自体に限界が来ているのではないだろうか。

 そんな中、個人的に期待しているのが、アップルが先日のWWDCで発表した「Sign in with Apple」という仕組みだ。

●Sign in with Appleとは

 最近、様々なウェブサイトで、グーグルやフェイスブックのアカウントでログインできるようになっているが、アップルはこの2つのログイン方法について「個人情報が流用されている」と指摘。アップルではAppe IDを使い、プライバシーに配慮した独自のログイン方法を提供するに至ったというわけだ。

 Sign in with Appleでは、アプリやウェブサイトに新規登録する際、自分のメールアドレスを登録しなくてもいいようになっている。この際、アップルが独自にランダムに生成したメールアドレスとパスワードを用意。それを使って、アカウントを作ることができる。ユーザーはランダムに生成されたメールアドレスをおぼえる必要もない。アプリ側からユーザーに対する通知は、アップルを経由してきちんと届くようになっている。

 今でもIDやパスワードをiCloudキーチェーンがおぼえてくれているし、iPhoneやiPad、MacBookでは顔認証や指紋認証があるため、いちいちIDやパスワードを手入力する手間が省けている。しかし、いずれも自分で作ったIDやパスワードがあった上でのiCloudキーチェーンだが、これからは、IDとパスワードの生成もアップルにおまかせできるようになるのだ。

 しかも、グーグルやフェイスブックのログインとは異なり、個人情報をトラッキングされる心配がない。個人情報を守りつつ、簡単であつ安心なログイン環境が手に入るというわけだ。

●ID・パスワード地獄に終止符を

 「アップルデバイス以外からのログインはどうするのか」という不安もあるのは事実だ。AndroidやPCのブラウザではApple IDを手入力する必要がありそうだ。もちろん、アプリやウェブサービス側もSign in with Appleに対応しなければならない。

 ただ、アプリやウェブサービス側もSign in with Appleを導入すれば、余計な個人情報を抱え込まなくてもいいというメリットもある。サービスによっては、ユーザーがパスワードが分からなくなったときのため、仕方なく個人情報を保有しているケースもある。そうした個人情報の管理にもコストが発生していることを考えると、Sign in with Appleを導入した方が身軽で良いと思う開発者も多いはずだ。

 もちろん、逆に個人情報を得たいからこそ、アプリやサービスを提供しているという事業者もいることだろう。

 いずれにしても、不正アクセスの事件が起こるたびに、パスワードの管理に頭を悩ますのにはもうウンザリだ。アップルにはSign in with Appleを世界に広めてもらい、「ID・パスワード地獄」に終止符を打ってもらいたいものだ。


筆者紹介――石川 温(いしかわ つつむ)

 スマホ/ケータイジャーナリスト。「日経TRENDY」の編集記者を経て、2003年にジャーナリストとして独立。ケータイ業界の動向を報じる記事を雑誌、ウェブなどに発表。『仕事の能率を上げる最強最速のスマホ&パソコン活用術』(朝日新聞)など、著書多数。

mobileASCII.jp TOPページへ

mobile ASCII

for Biginnersスマホ入門

スマホからスマホへ機種変更する前に読む! 各種アプリ&サービスのデータ移行・引き継ぎ方法

「Xperia A」「GALAXY S4」へ機種変更したらチェック! ケータイとの違い&スマホの使い方をマスターしよう

「Xperia A」ほか夏スマホ購入前にチェック! スマホへの機種変更&乗り換えQ&A

スマホのトラブル解決ガイド2013

スマホ定番アプリ活用術!

連載:スルッとわかる! 高速通信規格「LTE」

おサイフケータイ乗換案内!

Linkリンク