19/07/05 11:04:47.00 KRYqeN+49.net
URLリンク(ascii.jp)
セブン&アイ・ホールディングスは、7月1日から開始したQRコード決済サービス「セブンペイ(7pay)」のチャージならびに新規登録を停止すると発表した。
すでにチャージ済みの金額は利用可能だ。
7payに関しては、3日にSNS上で不正利用の被害を訴える声が相次いだ。サービス運営会社のセブン・ペイは同日、不正利用の発生を公表。
その後も被害が相次いでいたため、4日午後にセブン・ペイが会見を開いた。
筆者も記者会見に参加したが、セブン・ペイのセキュリティに対する危機感のなさっぷりに悲しい気持ちになってしまったほどだ。
「よくも、こんな認識の甘さでユーザーからお金を預かるサービスを提供できたな」と呆れるほどだった。
最たる例が、「2段階認証を導入しなかったのはなぜか」という記者からの質問だ。
●2段階認証を知らなかった可能性
ここ最近のWebサービスや、昨今のQRコード決済では、ユーザーを認証するにあたり、SMS(ショートメッセージサービス)を使ったものがトレンドになりつつある。
会員登録する際に携帯電話番号を入力させ、その番号にSMSを送信。本文中にある数字を打ち込んだり、URLを踏ませて本人確認をするというものだ。
メールでも同様に認証ができるが、SMSは世界にひとつしかない携帯電話番号を使った認証と言える。2段階認証は、ネットサービスを提供する上で、
もはや当たり前の機能と言っていい。
前述の「2段階認証を導入しなかったのはなぜか」という質問に対して、セブン・ペイの小林 強社長は「7payの基本設計は7iDで、セブンイレブンアプリがあって
7payがある。それらが連携して登録する」というトンチンカンな返事しかできていなかった。つまり、2段階認証を知らなかった可能性が極めて高いのだ。
●パスワードリセットに根本的な設計ミスか
また、7payではパスワードをリセットする際、別のメールアドレスに送信できる仕様となっていた。
これに対して別の幹部は「スマホのキャリアメールを使っている人の場合、パソコンからパスワードをリセットをかけた際に、
キャリアメールでは受け取れないことがある。そのために別のメールアドレスに送れるようにした」という。
確かに利便性という面では理解できなくもないが、そもそも最初に登録したメールアドレスにパスワードリセットの通知が来ないという仕組みは、
根本的に設計ミスではないだろうか。
セキュリティに対して万全の対策をしていたのかという質問に対しては、幹部は「サービス前にセキュリティ審査をしたが、脆弱性は指摘されなかった」と回答。
そもそもの設計思想自体が、他のPayサービス(サービス開始当初のPayPayを除く)に比べて圧倒的に劣っているにも関わらず、その認識すらなく、
自分たちの常識だけで、セキュリティレベルを決めていたことに呆れるばかりだ。
●決済サービスを止めない不可解
さらに理解できなかったのが、今回7payはクレジットカードや店頭レジ、ATMからのチャージは一時的に止めるが、決済サービスの利用は止めないという判断だ。
セブン・ペイでは海外からのアクセスを止めたことで被害を食い止められると説明して「利便性を優先した」としているが、決済サービスが継続されているとなれば、
多少なりとも被害が拡大する気がしてならない。
会見では被害総額が5500万円、被害に遭った人は900人というのが明らかにされた。コンビニで高額決済をするのは難しいが、
「比較的高額で換金性のあるタバコが買われたようだ」(セブン・ペイ社長)という。
しかし、これも現在精査中とのことで、数字が増える恐れもあるようだ。ちなみに、7payの全ユーザー数は150万だ。
●競合や消費増税で焦ったか?
今回の騒動を見るに、セブン・ペイとしては相当、焦りがあったではないか。
本来であればセブン-イレブンなのだから7月11日にサービス開始すればいいものを、7月1日にサービス開始日を持ってきた。
これはおそらく、ライバルであるファミリーマートが7月1日に「ファミペイ(FamiPay)」を開始するのを意識したのだろう。
また、10月には消費増税を控えている。キャッシュバックなどの優遇策が展開されることを考えると、早いタイミングでサービスを開始して、
ユーザーを獲得しておきたかったのではないか。
「焦りがあったのか」という質問に対して幹部は「安全性を確認した上でサービスを開始した。おざなりにはしていない」と語ったが、
今後、セキュリティの対策に時間がかかれば、消費増税の10月にすら間に合わない可能性も出てきた。