なぜ7payは失敗したか?【後編】不正利用の原因、利用者が身を守るには?

2019年7月1日にサービス開始して間も無く、不正利用が明らかになったことで世間を騒がせている決済サービス「7pay(セブンペイ)」。本日の話題は決済サービスの不正利用が続く理由や個人が身を守る方法についてです。

7pay(セブンペイ)の不正利用事件とは?

7payで発生した不正利用の内容や原因については、記事の前編をご参照ください。

なぜ7payは失敗したか?【前編】不正利用が発生した経緯
2019年7月1日にサービス開始して間も無く、不正利用が明らかになったことで世間を騒がせている決済サービス「7pay(セブンペイ)」。本日の話題は7payの不正利用が発生した原因についてです。

決済サービスの不正利用は以前にも発生している

そもそもサービス提供側の落ち度による決済サービスの不正利用発覚は7payが初めてのことではありません。以前には「PayPal」や、最近では100億円還元で有名になった「PayPay」でも身に覚えのない多額の請求が発生し、被害総額は数億円にも上がったという事件がありました。

PayPayではクレジットカード番号・有効期限・セキュリティコードを入力することで支払い手段としてクレジットカードを登録できますが、クレジットカード登録にIDやパスワードなどの入力を必要とする「3Dセキュア」には対応していませんでした。また、PayPayアプリではセキュリティコードの入力を何度も間違えても、ロックがかからない仕様となっていました。

これほど決済サービスでのセキュリティが重要であるにもかかわわらず、7payはなぜ不正利用を許すという失敗をしてしまったのでしょうか?また私たちが身を守る方法はないのでしょうか?

世間での危機感は以前からあった

まず国内の決済サービスを監督すべき国は相次ぐ不正利用を受け、キャッシュレス推進協議会での決定事項として、2019年4月16日にQRコード決済の不正利用防止に向けたガイドラインを作成し、業界に対して対策喚起してきました

「コード決済における不正流出したクレジットカード番号等の不正利用防止対策に関するガイドライン」を策定しました | 一般社団法人キャッシュレス推進協議会 - PAYMENTS JAPAN
一般社団法人キャッシュレス推進協議会では、スマートフォンアプリ等においてバーコードやQRコードを用いた決済手法(以下、「コード決済」)に関し想定される不正利用事案のうち、近時発生した不正利用事案に対する早急な対応の必要性から、クレジットカード番号等の不正利用への対策についてガイドラインを策定いたしましたので、これを公表...

具体性は十分とはいえないものですが、国としては監督できる範囲で業界に注意喚起していました。やはり今回の不正利用はセブン・ペイに責任を帰すべき事象であるということになります。後から振り返ってみると、セブン・ペイの現状認識の甘さが目立つ事件となってしまいました。

浮き彫りになる3つの問題点

1つ目の問題点は他人のIDを乗っ取る手段を、セブン・ペイのシステム自身が“提供”していることです。正規の手順を踏めば、誰でも簡単にIDを乗っ取ることができてしまいます。不正利用が世間で問題視される中、性善説に基づく仕様となっていたことは極めて危険なシステムであると言わざるを得ません。

2つ目の問題点は重要情報の扱いの認識の甘さです。クレジットカード情報など金融情報を取り扱い、さらに決済まで行うシステムであるのに、2段階認証には対応していませんでした。またパスワード変更時には生年月日を必要としているにもかかわらず、生年月日を省略し登録可能となっていました。そのうえ、省略時のデフォルト値(変更しなかったときに使われる値)まで公開しています。nanacoやセブン銀行での成功体験が、個人情報を取り扱うことへの危機意識を薄めてしまったということなのでしょうか。

3つ目の問題点は自身のシステムに対する過信と言えます。発表によれば7月2日にはユーザーから「身に覚えのない取引があったようだ」と問い合わせがあったうえ、翌日朝には不正利用報告が相次いでいるにもかかわらず、セブン・ペイはクレジットカード、デビットカードからの入金手続きを停止するにとどめるという対応でした。本来であれば、全ての入金手続きを停止させるとともに、全ての決済を停止するという対策をとるべきだったでしょう。

利用者が身を守るには?

今回のように正規の手順で不正利用が行われるというのは想定外のことですが、私たちが身を守る方法はあったのでしょうか。

ひとつの対策としては新しいサービスに飛びつくのではなく、ある程度世間に浸透してから利用するということがあげられます。サービス開始時点では仕組み上の不備やセキュリティの穴など、どうしても導入当初の問題が発生しがちです。開始キャンペーンが大々的に宣伝されていれば、すぐに飛びつきたくなる気持ちはすごくわかるのですが、少し頭を冷やすことも重要です。

また不正利用されたという被害を見逃さないよう、自分の購入履歴を振り返ることも重要です。クレジットカード等の利用履歴は頻繁にチェックする習慣をつけましょう。自分の買い物履歴を見返すことは不正利用を見つけるとともに、自分が無駄遣いをしていないかという確認になります。

セブンは企業としての信頼回復を

今回の7payでは金融情報を扱っていないシステムを流用し、クレジットカードからの高額入金が可能であるシステムへ"衣替え"する時点で、セキュリティ設計を見直すべきでした。構想・設計段階でのミスは明らかです。しかしセキュリティの欠陥(しかも初歩的な欠陥)は見逃されたままサービスを開始し、最初の謝罪会見をしてなお現状認識の甘さを指摘されました。

セブン&アイ・ホールディングスは、「自分たちは被害者である」ことを訴える以前に、自らの非を認めるべきでしょう。7payの問題だけであれば被害者への返金など補償で済むことになりますが、日本でのキャッシュレス化に水を差すことにありました。また、今回の事例における最大の問題点はセキュリティに対する認識の甘さ、幹部のセキュリティ問題に対する意識の低さと言えます。

誤解しないでいただきたいのは、私自身、一消費者としてセブンの大ファンであるということです。セブンイレブンはよく立ち寄るコンビニのひとつで、新商品は毎回チェックしていますし、nanacoを使って支払いを行うことも日常的です。セブン&アイ・ホールディングスとしての責任があるとするならば、より信頼できる仕組みを早期に構築し、消費者に報いるような仕組みを作ってほしいと思います。

7payはなぜ失敗したか?【続報】オムニ7アプリのソースコード流出と原因
2019年7月1日にサービス開始して間も無く、不正利用が明らかになったことで世間を騒がせている決済サービス「7pay(セブンペイ)」。また新たなニュースが飛び交っており、なんとオムニ7アプリのソース...
error:Content is protected !!