たった4日で900人、5500万円の被害、サービス開始から4日で謝罪会見、何者かが利用者のアカウントに不正にアクセスし、利用者が登録していたクレジットカードやデビットカードからお金をチャージ。セブン-イレブンの店舗で、タバコなど単価が高く換金性のある商品を購入していた被害。
ざるシステムが原因だった。7Payを使うために必要な「7iD」のパスワードを忘れて新たに登録し直す際に、登録したメールアドレス以外のアドレスにパスワードを知らせるメールが送ることができてしまうことや、本人確認のために、SMS(ショートメッセージサービス)に数字などのコードを送って入力させる「二段階認証」と呼ばれる仕組みを採用していなかったことなどが指摘されている。
ざるシステムが原因だった。7Payを使うために必要な「7iD」のパスワードを忘れて新たに登録し直す際に、登録したメールアドレス以外のアドレスにパスワードを知らせるメールが送ることができてしまうことや、本人確認のために、SMS(ショートメッセージサービス)に数字などのコードを送って入力させる「二段階認証」と呼ばれる仕組みを採用していなかったことなどが指摘されている。
スマホ決済ではそのスマホが本人のものでないと決済できないと言うことが基本中の基本だ。それにはSMSで認証コードを送り、本人がそのコードを返信することによって本人確認が出来る。タクシー呼び出しアプリなどでも、そうしないと登録できない。犯人は事前に7Payの欠陥を知っていたとしか思えない。
記者会見のテレビを見ていたが、「どうして二段階認証を採用しなかったのか」という報道陣の質問に対して、7Payの小林強社長が「二段階認証?」と聞き返し、記者が説明するといった醜態で、運営会社トップがキャッシュレス決済の安全の基本を知らなかったことが露呈した。王者セブンが出遅れたので、焦って拙速気味だったようだ。客はそうとは知らず、満を持して7Payを出してきたと思ったのだろう。
先月、先進北欧を訪れたが、コーヒー一杯からすべてVISAカードで支払った。4桁の暗証番号を入力するだけで済むので、日本でも当分これで決済するのが安全だ。セブンイレブンはセブンカードで支払っており、何の不自由もない老舗は保守的が似合う。また、既存のカードスイカの利用範囲が拡がるのを私は待つ。今回の教訓だ。
トータル
