コンビニのスマホ決済Payで話題の2段階認証とは何のこと?
7月1日にスタートしたコンビニ最大手セブンイレブンの「7Pay」で被害額5500万円が発生しました。
7Payはセブンイレブン専用のスマホ決済サービスです。
被害の原因は第三者による不正アクセスです。
なぜ簡単に不正アクセスを許してしまったかは、7Payのセキュリティの脆弱性に起因しています。
7Payは2段階認証システムを採用していなかったのです。
では、この2段階認証システムとはどんな内容なのでしょう?
2段階認証とは?
スマホ決済サービスなどのアプリにアクセスする際、IDとパスワード以外にワンタイムパスワードの入力を求められます。
このワンタイムパスワードは、登録したメールアドレス宛に送られたり、銀行などはワンタイム発生アプリを用意している場合もあります。
7Payで何が起きた?
7月1日にセブンイレブンでスマホ決済サービス、「7Pay」が始まって間もなく、契約者本人以外の第三者による不正アクセスで、契約者が身に覚えのない5500万円もの商品購入が何者かによって行われました。
なかには1日にクレジットカードから7Payにチャージできる限度額の30万円がチャージされ、すべてを商品購入に充てられた例もあります。
犯行を起こした2人の中国人は早速拘束され、自分のスマホに複数のIDとパスワードが届き、セブンイレブンで商品購入するよう指示のメッセージを受け取ったと自白しています。
犯行者はこの2人だけではなく別にもいるようで、指示は中国本土から来ているようです。
7PayへのアクセスではIDとパスワードだけでワンタイムパスワードが必要なかったのです。
これでは不正に入手したIDとパスワードがあれば簡単に本人に成りすまして不正アクセスすることが可能となります。
「7Pay]ではこの2段階認証でなかった以外にも、パスワードを忘れた場合の対処方法がお粗末でした。
生年月日さえわかれば、新たに設定した別のメールアドレス宛に手続きを進めるメールが送られるようになっていました。
これでは第三者が不正入手した生年月日を使って、自分のメールアドレス宛にパスワード変更手続きのメールを送らせることも出来てしまいます。
あなたの応援クリックが、更新の励みです。
セブンイレブンの対応
セブンイレブンでは早速7Payへのチャージの停止と、新規登録を中止しました。
会社幹部の記者会見のテレビニュースを見ていると、言い訳がましくてどこまで責任を感じているのかよくわからない感じでした。
「セキュリティの審査はきちんと行った。脆弱性は問題なかった」などと言っているのです。
セキュリティ審査をきちんと行っていなかった、つまり審査の内容に問題があった。
脆弱性に問題があったから、今回の被害が発生したと考えるのが当然なのに。
「2段階認証は行っていたのか?」の質問に対し、「2段階認証...?」と言いよどむ始末です。
テレビのニュースでの被害者の男性に対するインタビューで、男性はもう2度とコンビニのスマホ決済サービスは利用しないと語っていました。
少なくともスマホ決済サービスに対する世間の信頼を著しく傷つけたセブンイレブンの罪は大きいと言わざるを得ません。
現在安全性の対策見直しを進めているようですが、再開の目途は立っていません。