2019年8月22日(木)

セブンペイ、「使いやすさ」が生んだ3つの隙

2019/7/20 7:12
保存
共有
印刷
その他

セブンペイについて専門家からは「普及を急ぐあまりに簡素な仕組みになったのではないか」との声が出ている

セブンペイについて専門家からは「普及を急ぐあまりに簡素な仕組みになったのではないか」との声が出ている

スマートフォン決済サービス「セブンペイ」は、不正利用事件をきっかけにシステムのもろさが次々と露呈した。使いやすさを重視した仕組みがセキュリティーの隙を生んだとみられている。セブンペイは決済サービスとしては後発だ。専門家らは普及を急いだ結果、安全性のチェックがおろそかになったと指摘する。

【関連記事】セブンペイ不正利用、被害1500人超す 計3200万円認定

複数のIT専門家が「深刻な弱点だった」とみているのが、フェイスブックやLINEなど外部のIDでログインできる「連携認証」と呼ばれる仕組みの部分だ。サービスごとに個別のIDを設定する手間を省けるメリットがあり、セブンペイを組み込んだ「セブン―イレブンアプリ」(セブンアプリ)もこの仕組みを採用していた。

セブンアプリでは他の一般的なサービスと比べ、外部IDの認証方法が甘いことが判明した。国際大学GLOCOM客員研究員の楠正憲氏によると、外部IDやパスワードを知らなくても、特定の方法でIDに関連する短い文字列(識別子)を入手し、本人になりすましてログインできた。

セブンアプリは2018年6月に配信され、こうした弱さを抱えたまま19年7月にセブンペイの機能が加わった。

楠氏は「決済サービスは悪用されると被害が大きい。アプリに追加する前に弱点を徹底的に洗い出すべきだった」と話す。セブン&アイ・ホールディングス(HD)は指摘を受けて11日、外部IDでのログインを遮断した。

「不正利用を防ぐことができます」と安全性をPRしていた「認証パスワード」にも、第三者がリセットできるという問題が見つかっている。

セブンペイについて専門家からは「普及を急ぐあまりに簡素な仕組みになったのではないか」との声が出ている

セブンペイについて専門家からは「普及を急ぐあまりに簡素な仕組みになったのではないか」との声が出ている

セブンペイでクレジットカードなどからチャージ(入金)するためには、独自の認証パスワードを設定する必要がある。不正ログインによって何者かにIDを乗っ取られた場合でも、認証パスワードを知られない限りは新たに入金されず、被害を最小限に抑えることができるとしていた。

しかしアプリ上で「パスワードを忘れた」と虚偽の問い合わせを送信し、オペレーターとのチャット画面でのやりとりを経れば認証パスワードを設定し直せた。

セブン&アイHDはチャット画面でのリセットについて「利用者がパスワードを忘れた場合の利便性を考えた措置」(担当者)と説明するが、情報セキュリティー会社S&J(東京・港)の三輪信雄社長は「複数のパスワードで不正を防ぐという効果が無く非常に甘い仕組みだ」と指摘する。

官民でつくる一般社団法人「キャッシュレス推進協議会」は3月に策定した指針で2段階認証の導入を求めた。だがセブンペイは指針に反し、IDとパスワードのみの「1段階」の認証で7月にサービスを始めた。世耕弘成経済産業相は9日、「基本中の基本である2段階認証といった対策が十分でなく、大変残念」と苦言を呈した。

運営会社の「セブン・ペイ」(東京・千代田)は2段階認証を採用しなかった理由を明らかにしていない。神戸大の森井昌克教授(情報通信工学)は「安全性を高めればアプリの使い勝手は悪くなる。普及を急ぐあまり、簡素な仕組みになったのではないか」とみる。

不正利用事件の被害は11日時点で1574人、計約3240万円となった。さらに拡大する可能性もある。セブン&アイHDは、弱点が悪用されたかどうかも含めて詳しい原因を調べている。

【関連記事】
セブン、進取の気性どこへ カリスマ後の憂鬱
金融庁、セブン・ペイの内部管理を問題視 報告命令
セブンペイ不正利用、窃盗容疑で中国人女を逮捕
セブン&アイ、セブンペイ不正利用で失ったもの
セブンペイ不正、「たばこ爆買い」が指す中国組織の影

保存
共有
印刷
その他

電子版トップ



[PR]

日本経済新聞社の関連サイト

日経IDの関連サイト

日本経済新聞 関連情報

新しい日経電子版のお知らせ

より使いやすく、よりビジュアルに!日経電子版はデザインやページ構成を全面的に見直します。まず新たなトップページをご覧いただけます。

※もとの電子版にもすぐ戻れます。