セブンペイは危ないの?不正利用のわかりやすい解説・セキュリティの3つの欠点・5つの自衛策まとめ【7pay:安全性】

7payに何が起きた

こんにちは!セブンペイを楽しみにしてきたサッシ(@3104nkmr)です。

残念ながら不正利用が発覚してしまったセブンペイですが、つまり何が起きたかバッチリ理解できましたか?

このページでは、以下の内容で事件のわかりやすい解説に加えて7payのセキュリティの3つの欠点・わたしたちユーザーが取れる5つの自衛策を紹介します。

しっかりじぶんの身はじぶんで守っていきましょう!

  • 何が起きたのか?7pay不正利用の事件まとめ
  • 何がダメだったのか?7payのセキュリティの3つの欠点
  • 安全性はじぶんで上げよう!わたしたちユーザーが取れる5つの自衛策



いったい何が起きたの?7pay不正利用の事件まとめ

まず、7月1日にスタートしたばかりの7payにいったい何が起きたのかをまとめますね。

不正利用が発生したのですが、内容は以下の通りです。

7payにいったい何が起きたの?
7payに登録したいくつかのアカウントに第三者が不正アクセスして勝手にパスワードを変更。

本人になりすましてアカウントを利用し、登録クレジットカードから第三者のスマホに高額チャージして利用。

7pay開始

いわゆる「乗っ取り」「なりすまし」ですね。

「あなた」と「犯罪者」で例えるならば、犯罪者があなたの7payアカウント情報を入手してパスワードを変更し、犯罪者のスマホの7payにあなたのクレカから数十万のチャージをして勝手に使ったという具合です。

7payのサービスが始まった翌日の7月2日に一般ユーザーから「身に覚えのない取引がされている」という問い合わせがあって不正利用が発覚したという経緯となっていますよ。

2019年7月4日の時点で、被害にあった人は約900名、総被害額は約5,500万円と発表されました。

何がダメだったのか?7payのセキュリティの3つの欠点

事件の内容がわかったところで、お次は問題点を見てみましょう。

7payには以下の3つのセキュリティ上の欠点がありました。

7payのセキュリティの3つの欠点
  • 2段階認証がない
  • 生年月日を省略して登録できる(=決まった数字になる)
  • パスワード変更の案内を登録メールアドレス以外に送れる

まず1つ目は「2段階認証がない」という点です。

2段階認証とは、スマホにSMSで送信されるコードやURLを経由して初めて変更に進める仕組みですね。

SMS認証
▲例:ファミペイの2段階認証

7payはパスワード変更のときに2段階認証が行われない仕様となっていました。

次に「生年月日を省略して登録できる」という点も問題です。

パスワード変更のときは生年月日の入力が求められるにもかかわらず、スマホから7iDに登録するときに生年月日を省略できるようになっていました。

もしも省略した場合は自動的に「2019年1月1日」に指定される仕組みです。

生年月日指定
▲7iDの会員情報の画面

ということは?

そう。もちろん生年月日は犯罪者にバレバレということですね・・・。

そして3つ目の欠点は「パスワード変更の案内を登録メールアドレス以外に送れる」ということです。

つまり、犯罪者のメアドにあなたの7iDのパスワード変更の案内を勝手に送れるというわけですね。

しかも、パスワード変更後に通知する機能がないので、勝手にパスワード変更されてもわからないという仕様になっていました。

う〜ん、これは「セキュリティ甘い」と言わざるを得ませんよね。

決済機能なしのアプリならともかく、高額なお金を扱うアプリなんですからね・・・。



安全性はじぶんで上げよう!わたしたちユーザーが取れる5つの自衛策

セキュリティ上の欠点がわかったところで、ラストは自衛策の紹介です。

結局のところじぶんの身はじぶんで守るしかないですからね。

わたしたちユーザーがじぶんの意思で取れるセキュリティ手段として、以下の5つの対策がありますよ。

わたしたちユーザーが取れる5つの自衛策
  • 設定できる項目はすべて登録する
  • パスワードを使い回さない
  • こまめにパスワードを変更する
  • カードを登録しない
  • 7payは使わない

お札挿入
▲セブン銀行ATMからもチャージは可能です

まず、設定できる項目はすべて登録しましょう。

今回は生年月日の登録を省略したユーザーはアカウントを突破される確率がグンと上がってしまいましたからね。

次にパスワード関連です。

他でも利用しているパスワードを使い回さない&こまめに変更することでセキュリティ度は大幅にアップしますよ。(ぜひパスワード自体も複雑にしましょう)

そして「クレジットカード・デビットカードを登録しない」ことを選べば、不正チャージは絶対に発生しません。

現金かnanacoポイントだけでチャージして7payを使うこともできますよ。

あとは・・・究極的には「7payを使わない」ことですね。ファミペイPayPayLINE Payメルペイなど、スマホ決済は他にもたくさんありますので(笑)



さいごに

「7payを使わない」は極論ではありますが、セブン&アイグループの対応がどうにも信用できないならば大いにアリな選択肢だと思います。

今後は2段階認証を採用してサービス再開する可能性は高いです。

基本的には自衛するつもりで、慎重に7payの動きを見守りましょう。