「７ｐａｙ」は、セブン‐イレブン・ジャパンが７月１日から始めたスマホ決済サービスで、およそ150万人が登録している。

運営会社によると、「７ｐａｙ」のアプリに何者かが不正にアクセスし、クレジットカードやデビットカードから勝手にチャージが行われ、セブン‐イレブンの店頭で買い物に使われる被害が確認されている。中には、クレジットカードから１日にチャージできる限度額の30万円が入金され、その日のうちに店舗で大量のたばこが購入されたケースもあるそう。

運営会社では、「７ｐａｙ」へのすべてのチャージと新規の登録を停止し、安全性を確認するとしていて、現時点では再開のめどは立っていないとしている。

「７ｐａｙ」のセキュリティー対策について、運営会社は「サービスの開始前に審査をきちんと行っていて、ぜい弱性は見つからなかった」と説明している。ただ、専門家からは対策に不備があった可能性があるという指摘も出ているの。

１つは、ほかのスマホ決済では導入が進んでいる「２段階認証」を導入していなかったこと。

２段階認証は、サービスを利用するためにスマホのアプリに登録したりログインしたりする際、通常のＩＤとパスワードの入力に加えて、メールなどで送られてくるワンタイムパスワードを入力し、本人かどうか認証する仕組み。段階を踏んで認証を行うことで、第三者による不正なアクセスを防ぐねらいがある。

「７ｐａｙ」は、もともとクーポンを配信する別のアプリの新機能として追加された経緯もあって、顧客の利便性を重視するため「２段階認証」のシステムを導入していなかったそう。このため、不正に入手したＩＤとパスワードさえ入力すればどの端末からでも会員登録できる状態だった。

また、パスワードを変更する手続きでも課題を指摘する声がある。パスワードを忘れるなどして再設定をする場合、一般的には、あらかじめ登録したメールアドレスに、手続きを進めるためのメールが届く仕組みになっている。

ところが「７ｐａｙ」では、生年月日などを入力すれば、メールの送り先を、登録してあるものとは別のアドレスに送れるようになっていた。このため第三者がパスワードの再設定のメールの送り先を自分のアドレスにして、勝手にパスワードを変更するとともに、不正に入手したクレジットカード情報などをもとにチャージをして商品を購入することができる状態だったと見られる。

そうね。スマホ決済の不正利用は過去にも起きているの。

ソフトバンクとヤフーの「ＰａｙＰａｙ」では、去年12月の大型キャンペーン期間中に、利用した覚えのない請求が届く不正利用が確認された。これを受けて会社では、クレジットカード情報を利用者が登録する際の本人認証の仕組みを強化したほか、クレジットカードで支払える金額を制限する措置も取った。

また、それまでは、カード情報の登録の際、数字３ケタのセキュリティコードなどを何度、間違えても入力に制限がかからない仕様になっていたため、入力回数に制限を設ける措置を取った。

こうした過去の教訓が「７ｐａｙ」のセキュリティに生かされていたか、検証する必要がありそうね。

スマホのセキュリティーに詳しい専門家は、サービスに登録する前に、複数の段階で本人確認が行われているかなどセキュリティ対策が十分かを確認してから利用を判断してほしいと話している。

また、身に覚えの無い利用があった場合に警告のメールが送られてくる仕組みがあるかどうかも確認しておいたほうがいいのではないかとしている。

スマホ決済は便利で、お得なキャンペーンもあるので利用する人も多いと思うけど、利用の前に、各社の対策を慎重に見極めることも重要かもしれないわね。