セブンペイ問題「コンビニでQR」自体に疑問の声も

文●山口健太

2019年07月12日 09時00分

  • このエントリーをはてなブックマークに追加

 セブン-イレブンのセブン&アイ・ホールディングスが運営するスマホ決済「7pay」(セブンペイ)ですが、不正利用が大きく報じられる事態となっています。アプリの仕様のおかしさが指摘される一方、コンビニにQRコード決済を導入すること自体への疑問の声も上がっています。

■サービスの仕様自体に問題か

 7月1日に始まった7payは、翌日から不正利用が報告され、3日目にはクレジットカードなど一部のチャージを停止。7月4日には記者会見を開き、7月5日には二段階認証の導入など新たなセキュリティ対策を発表する事態になりました。

7月5日には二段階認証の導入など今後の対策を発表した

 この間にもセブン-イレブンの会員IDである「7iD」について、第三者がパスワードをリセットできるなど複数の問題が発見されています。

7月10日時点でも7payは使えるが、新規のチャージは停止されている

 7月4日の記者会見で7payは、セキュリティ検査の結果として「脆弱性はなかった」と回答しています。たしかにOSやミドルウェアの脆弱性は見つからなかったのかもしれませんが、サービスの仕様自体に問題があったことが疑われています。

 その問題とは、ログインの仕組みです。携帯電話のSMS認証などがなく、IDとパスワードさえ分かれば第三者のスマホからもログインできる状態でした。こうしたアカウント情報は過去に流出した数十億件のデータが世界に出回っており、それを順番に試していくリスト型攻撃のターゲットになりえます。

 SMSやメールを用いた追加の認証があれば、こうした攻撃の大部分は防ぐことができたはずです。こうした本人確認の必要性は経済産業省がガイドラインとして示しており、7月5日にはあらためて注意を喚起しました。

■パスワードの使い回しは危険、7payの対策に不備も

 こうした決済アプリのユーザーとして気を付けるべき点として、パスワードを使い回さないことが重要です。IDとパスワードはいずれ流出することを前提に、複数のサービスでパスワードを使い回すことは避けるべきです。

 7payのアカウントに第三者にログインされた場合、残高を使われたり個人情報を取得される恐れがありました。それでもクレジットカードからのチャージについては、7iDのパスワードとは別の「認証パスワード」が一定の防壁になるはずでした。

 これら2つのパスワードは同じ文字列の使い回しができる仕様になっていたことが問題でした。セブン側は7月3日時点でこの問題を認識しており、「不正アクセスされる」恐れについて注意を促しています(7月10日現在、この文書はWebサイトから削除)。

7月3日時点でセブン側も使い回しの問題を認識していた

 7iDのパスワードと他社サービスのパスワードの使い回しは、さすがにユーザー側にしか対策できません。しかしセブン-イレブンアプリ内でのパスワードの使い回しは、そういう使い方をする人がいることを想定し、制限を加えるべきだったといえるでしょう。

 問題はこれにとどまらず、不正アクセスの被害報告の中には「認証パスワードの使い回しはしていない」ケースも含まれており、より深刻な問題が潜んでいる可能性が指摘されています。この点はセブン側の調査を待ちたいところです。

■利便性とセキュリティの両立を

 7payが引き起こした問題は、誰もがよく知っているセブン-イレブンというブランドの知名度も相まって、QRコード決済やスマホ決済、キャッシュレス全体に対する逆風になりそうです。

 問題が起きた背景として、7payのセキュリティに大きな不備があったことは明らかですが、セブン側がユーザーの利便性とのバランスを取ろうとした形跡もうかがえます。

 セブン-イレブンの店頭で7payが使われる場面を想像すると、アプリの操作が分からない人、残高が足りずにその場でチャージする人もいるでしょう。混雑したレジで多くの人をさばくために、少しでも手順を簡略化したかった気持ちは分かります。

 一方で、コンビニを使う理由は必要なものを素早く買いたいからという人も多いはず。すでに海外ではAmazon Goのようにレジを通さずに会計できるお店も出てきており、手間の多いQRコード決済自体への疑問の声も増えています。

 業界リーダーであるセブン-イレブンには、利便性とセキュリティを両立した新しい「Pay」体験を期待したいところです。

mobileASCII.jp TOPページへ