検索朝刊・夕刊LIVEMyニュース日経会社情報人事ウオッチ
NIKKEI Prime

朝夕刊や電子版ではお伝えしきれない情報をお届けします。今後も様々な切り口でサービスを開始予定です。

検索朝刊・夕刊LIVEMyニュース日経会社情報人事ウオッチ
NIKKEI Prime

朝夕刊や電子版ではお伝えしきれない情報をお届けします。今後も様々な切り口でサービスを開始予定です。

検索朝刊・夕刊LIVEMyニュース日経会社情報人事ウオッチ
NIKKEI Prime

朝夕刊や電子版ではお伝えしきれない情報をお届けします。今後も様々な切り口でサービスを開始予定です。

NIKKEI Primeについて

朝夕刊や電子版ではお伝えしきれない情報をお届けします。今後も様々な切り口でサービスを開始予定です。

/

セブンペイ、「使いやすさ」が生んだ3つの隙

詳しくはこちら

スマートフォン決済サービス「セブンペイ」は、不正利用事件をきっかけにシステムのもろさが次々と露呈した。使いやすさを重視した仕組みがセキュリティーの隙を生んだとみられている。セブンペイは決済サービスとしては後発だ。専門家らは普及を急いだ結果、安全性のチェックがおろそかになったと指摘する。

複数のIT専門家が「深刻な弱点だった」とみているのが、フェイスブックやLINEなど外部のIDでログインできる「連携認証」と呼ばれる仕組みの部分だ。サービスごとに個別のIDを設定する手間を省けるメリットがあり、セブンペイを組み込んだ「セブン―イレブンアプリ」(セブンアプリ)もこの仕組みを採用していた。

セブンアプリでは他の一般的なサービスと比べ、外部IDの認証方法が甘いことが判明した。国際大学GLOCOM客員研究員の楠正憲氏によると、外部IDやパスワードを知らなくても、特定の方法でIDに関連する短い文字列(識別子)を入手し、本人になりすましてログインできた。

セブンアプリは2018年6月に配信され、こうした弱さを抱えたまま19年7月にセブンペイの機能が加わった。

楠氏は「決済サービスは悪用されると被害が大きい。アプリに追加する前に弱点を徹底的に洗い出すべきだった」と話す。セブン&アイ・ホールディングス(HD)は指摘を受けて11日、外部IDでのログインを遮断した。

「不正利用を防ぐことができます」と安全性をPRしていた「認証パスワード」にも、第三者がリセットできるという問題が見つかっている。

セブンペイでクレジットカードなどからチャージ(入金)するためには、独自の認証パスワードを設定する必要がある。不正ログインによって何者かにIDを乗っ取られた場合でも、認証パスワードを知られない限りは新たに入金されず、被害を最小限に抑えることができるとしていた。

しかしアプリ上で「パスワードを忘れた」と虚偽の問い合わせを送信し、オペレーターとのチャット画面でのやりとりを経れば認証パスワードを設定し直せた。

セブン&アイHDはチャット画面でのリセットについて「利用者がパスワードを忘れた場合の利便性を考えた措置」(担当者)と説明するが、情報セキュリティー会社S&J(東京・港)の三輪信雄社長は「複数のパスワードで不正を防ぐという効果が無く非常に甘い仕組みだ」と指摘する。

官民でつくる一般社団法人「キャッシュレス推進協議会」は3月に策定した指針で2段階認証の導入を求めた。だがセブンペイは指針に反し、IDとパスワードのみの「1段階」の認証で7月にサービスを始めた。世耕弘成経済産業相は9日、「基本中の基本である2段階認証といった対策が十分でなく、大変残念」と苦言を呈した。

運営会社の「セブン・ペイ」(東京・千代田)は2段階認証を採用しなかった理由を明らかにしていない。神戸大の森井昌克教授(情報通信工学)は「安全性を高めればアプリの使い勝手は悪くなる。普及を急ぐあまり、簡素な仕組みになったのではないか」とみる。

不正利用事件の被害は11日時点で1574人、計約3240万円となった。さらに拡大する可能性もある。セブン&アイHDは、弱点が悪用されたかどうかも含めて詳しい原因を調べている。

春割ですべての記事が読み放題
有料会員が2カ月無料

有料会員限定
キーワード登録であなたの
重要なニュースを
ハイライト
登録したキーワードに該当する記事が紙面ビューアー上で赤い線に囲まれて表示されている画面例
日経電子版 紙面ビューアー
詳しくはこちら

セレクション

トレンドウオッチ

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

フォローする
有料会員の方のみご利用になれます。気になる連載・コラム・キーワードをフォローすると、「Myニュース」でまとめよみができます。
春割で無料体験するログイン
記事を保存する
有料会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。
春割で無料体験するログイン
Think! の投稿を読む
記事と併せて、エキスパート(専門家)のひとこと解説や分析を読むことができます。会員の方のみご利用になれます。
春割で無料体験するログイン
図表を保存する
有料会員の方のみご利用になれます。保存した図表はスマホやタブレットでもご覧いただけます。
春割で無料体験するログイン

権限不足のため、フォローできません

ニュースレターを登録すると続きが読めます(無料)

ご登録いただいたメールアドレス宛てにニュースレターの配信と日経電子版のキャンペーン情報などをお送りします(登録後の配信解除も可能です)。これらメール配信の目的に限りメールアドレスを利用します。日経IDなどその他のサービスに自動で登録されることはありません。

ご登録ありがとうございました。

入力いただいたメールアドレスにメールを送付しました。メールのリンクをクリックすると記事全文をお読みいただけます。

登録できませんでした。

エラーが発生し、登録できませんでした。

登録できませんでした。

ニュースレターの登録に失敗しました。ご覧頂いている記事は、対象外になっています。

登録済みです。

入力いただきましたメールアドレスは既に登録済みとなっております。ニュースレターの配信をお待ち下さい。

_

_

_