はじめに
使いやすさを優先しすぎた?
そもそも、一般的な通販サイトで、再設定パスワードの送付先を、登録メールアドレス以外に送れるものはほぼありません。知らない間に他人のメールに送られる可能性があるからです。
さらに近年、多くのサイトでは、ログイン・パスワードなどの要素による認証に加えて、ワンタイムパスワードやSMS通知などを利用した認証も行う「多要素認証」という手法が採用されています。
7iDでは、このような推奨とされるセキュリティ対策が取られていませんでした。さらにiOS版のアプリでは生年月日の設定すら必須ではなく、未設定の場合は「2019/01/01」という初期値を入れれば、誰でもパスワードの変更ができるという状態でした。
前出のエンジニアは「オムニ7のユーザーは主婦が多い。使いやすさを求めるあまり、セキュリティを担保できなくなったのではないか。この脆弱性には以前から目をつけられていたはず。7payと連携されたことで換金性が高まり、このような犯罪が起きたのでは」と推測します。
登録再開のメドは立たず
セブン&アイ・ホールディングス(HD)などが4日に開いた会見では、「不正利用が起きた原因は調査中」とする一方、「(システムに)事前の脆弱性は確認できなかった」と繰り返し、批判を浴びました。また、セブン・ペイの小林強社長が二段階認証という言葉を知らないような様子を見せたことで、サービス自体の信頼性が揺らいでいます。
わずか3日間で約150万人が新規登録したという7pay。井阪隆一・セブン&アイHD社長が4月の決算説明会で、「3,000万人にダウンロードしてもらえるよう、野心的に進めていきたい」と話していたように、数あるモバイル決済の中でも優位的な立場になるとみられていました。
同社広報部によると、新規登録とチャージを再開する時期のメドは立っておらず、「さらなる安全策をしっかりと検討し、万全の対策で再開したい」としています。
世界的にも遅れているとされる日本のキャッシュレス決済が、ようやく広がりを見せ始めたタイミングで起きた不正利用。ユーザーの不安をこれ以上拡大させないためにも、早急な原因究明と対策が必要となります。
