7payの不正使用騒動は、不正が報告され始めた2日から2日あまり経って、ようやく全てのチャージと新規登録を停止することとなったが、既にチャージしたものは依然として利用可能だ。7pay側の説明では利用者の利便性を考慮した上での決定だとのことだが、これで不正を行った犯人は盗んだチャージ金を使い続けることができる。
7payとしては本音のところは7payの使用を止めると、セブンイレブンの売り上げ減につながることを恐れたのではなかろうか。
それはともかく、新規のチャージが止まっているので、現在チャージされている残高が使い尽くされると、7payは自動的に停止せざるを得ない。だから、目下のところ7payは必死に原因の特定とシステムの改修に取り組んでいるのだろう。
今回の不正事件の原因は、未だ完全に特定されてはいないが、ネット上等で指摘されているものを簡単に説明すれば次にようになる。
7payが内蔵されているセブンイレブン・アプリにログインする際は、IDとパスワードが必要だが、パスワードを忘れたときのためにパスワードの再設定機能が設けられている。この再設定機能を利用のに必要なのは、アプリにログインする際のID(メールアドレス)と生年月日と電話番号という、不正を働こうとする者からすれば簡単に入手できるものばかりだ。
そしてもっと悪いことには、新パスワードの設定画面を案内する7payからの連絡メールを、元のアドレス以外の別のアドレスでも受け取れるようになっているのだ。
これを犯人が悪用すると、犯人の端末に7payの連絡メールを送らせ、そこから犯人が独自にパスワードを新たに設定して、被害者のセブンイレブン・アプリを乗っ取ってしまうのだ。
今回の一番の問題点は、パスワード再設定の案内メールを別のメールアドレスでも受け取れることではあるが、これは普通ではあり得ない大きなチョンボで、他の同じような決済システムではまずあり得ないことだと思う。
しかし、アプリにログインする際のIDにメールアドレスを使っていることは、7pay以外でもちょくちょく見られるので、他への波及という点ではこちらの問題の方がある意味で深刻で、世間はこちらに注目すべきだ。
IDというのは、アイデンティフィケーションの略語だから、個人が本人であることを証明する身分証明書などを指す言葉だ。これがITの世界では、ユーザー名やアカウント名を表すものとして使われているが、個人の本人性を表すという意味では、身分証明書となんら変わらない。
しかし、これがIDというアルファベット表記になった途端に、元の意味が忘れられがちだ。
今回の7payのようにIDをメールアドレスにしているのは、まさにそうしたID軽視の表れだし、セキュリティの高いネットバンキングなどでも、パスワードの入力はソフトキーボードを使い、かつ、入力内容は「●●●」というように隠されるものの、IDは普通のキーボードから、しかも入力内容は丸見えというものも多い。
今回の7payの事件の記者会見で質問が出たように、ショートメッセージサービスを使って本人確認をするいわゆる二段階認証の仕組みを取り入れていれば、今回の不正事件は防げた可能性が高い。
本人確認の手法として現時点で一番のものは、顔や指紋を使った生体認証だが、専用のシステムや設備のコストなどの問題がある。二段階認証は、使う人にはひと手間余計にかかるが、次善の策かも知れない。生体認証を使ってセキュリティが高くしかも操作が簡単な本人確認技術が開発されることが、待たれる。
有地 浩(ありち ひろし)株式会社日本決済情報センター顧問、人間経済科学研究所 代表パートナー(財務省OB)
岡山県倉敷市出身。東京大学法学部を経て1975年大蔵省(現、財務省)入省。その後、官費留学生としてフランス国立行政学院(ENA)留学。財務省大臣官房審議官、世界銀行グループの国際金融公社東京駐在特別代表などを歴任し、2008年退官。 輸出入・港湾関連情報処理センター株式会社専務取締役、株式会社日本決済情報センター代表取締役社長を経て、2018年6月より同社顧問。著書に「フランス人の流儀」(大修館)(共著)。人間経済科学研究所サイト