■パスワードの使い回しは危険、7payの対策に不備も
こうした決済アプリのユーザーとして気を付けるべき点として、パスワードを使い回さないことが重要です。IDとパスワードはいずれ流出することを前提に、複数のサービスでパスワードを使い回すことは避けるべきです。
7payのアカウントに第三者にログインされた場合、残高を使われたり個人情報を取得される恐れがありました。それでもクレジットカードからのチャージについては、7iDのパスワードとは別の「認証パスワード」が一定の防壁になるはずでした。
これら2つのパスワードは同じ文字列の使い回しができる仕様になっていたことが問題でした。セブン側は7月3日時点でこの問題を認識しており、「不正アクセスされる」恐れについて注意を促しています(7月10日現在、この文書はWebサイトから削除)。
7iDのパスワードと他社サービスのパスワードの使い回しは、さすがにユーザー側にしか対策できません。しかしセブン-イレブンアプリ内でのパスワードの使い回しは、そういう使い方をする人がいることを想定し、制限を加えるべきだったといえるでしょう。
問題はこれにとどまらず、不正アクセスの被害報告の中には「認証パスワードの使い回しはしていない」ケースも含まれており、より深刻な問題が潜んでいる可能性が指摘されています。この点はセブン側の調査を待ちたいところです。