７月１日にスタートしたコンビニ最大手セブンイレブンの「７Pay」で被害額5500万円が発生しました。

７Payはセブンイレブン専用のスマホ決済サービスです。

被害の原因は第三者による不正アクセスです。

なぜ簡単に不正アクセスを許してしまったかは、７Payのセキュリティの脆弱性に起因しています。

７Payは２段階認証システムを採用していなかったのです。

では、この２段階認証システムとはどんな内容なのでしょう？

２段階認証とは？

スマホ決済サービスなどのアプリにアクセスする際、IDとパスワード以外にワンタイムパスワードの入力を求められます。

このワンタイムパスワードは、登録したメールアドレス宛に送られたり、銀行などはワンタイム発生アプリを用意している場合もあります。

７Payで何が起きた？

７月１日にセブンイレブンでスマホ決済サービス、「７Pay」が始まって間もなく、契約者本人以外の第三者による不正アクセスで、契約者が身に覚えのない5500万円もの商品購入が何者かによって行われました。

なかには１日にクレジットカードから７Payにチャージできる限度額の30万円がチャージされ、すべてを商品購入に充てられた例もあります。

犯行を起こした２人の中国人は早速拘束され、自分のスマホに複数のIDとパスワードが届き、セブンイレブンで商品購入するよう指示のメッセージを受け取ったと自白しています。

犯行者はこの２人だけではなく別にもいるようで、指示は中国本土から来ているようです。

７PayへのアクセスではIDとパスワードだけでワンタイムパスワードが必要なかったのです。

これでは不正に入手したIDとパスワードがあれば簡単に本人に成りすまして不正アクセスすることが可能となります。

「７Pay]ではこの２段階認証でなかった以外にも、パスワードを忘れた場合の対処方法がお粗末でした。

生年月日さえわかれば、新たに設定した別のメールアドレス宛に手続きを進めるメールが送られるようになっていました。

これでは第三者が不正入手した生年月日を使って、自分のメールアドレス宛にパスワード変更手続きのメールを送らせることも出来てしまいます。

あなたの応援クリックが、更新の励みです。

セブンイレブンの対応

セブンイレブンでは早速７Payへのチャージの停止と、新規登録を中止しました。

会社幹部の記者会見のテレビニュースを見ていると、言い訳がましくてどこまで責任を感じているのかよくわからない感じでした。

「セキュリティの審査はきちんと行った。脆弱性は問題なかった」などと言っているのです。

セキュリティ審査をきちんと行っていなかった、つまり審査の内容に問題があった。

脆弱性に問題があったから、今回の被害が発生したと考えるのが当然なのに。

「２段階認証は行っていたのか？」の質問に対し、「２段階認証．．．？」と言いよどむ始末です。

テレビのニュースでの被害者の男性に対するインタビューで、男性はもう２度とコンビニのスマホ決済サービスは利用しないと語っていました。

少なくともスマホ決済サービスに対する世間の信頼を著しく傷つけたセブンイレブンの罪は大きいと言わざるを得ません。

現在安全性の対策見直しを進めているようですが、再開の目途は立っていません。