7pay終了 金融サービスという意識が大きく欠けていた運営会社の甘さ

セキュリティ対策ソフトでスマホやタブレット、PCを守る コンテンツ
2019.07.06

7payが9月末の終了を発表しました。

7月1日の開始からたった3カ月で終了です。

7payが金融サービスであるという意識が運営会社には大きく欠けていたと言わざるを得ない結末です。

大手コンビニチェーンが、キャッシュレス決済全体の信頼性を揺るがしてしまいました。

キャッシュレス決済に不安であるという印象を利用者に与えてました。

7payの教訓は、ガイドラインという自主規制レベルでは手順を守られず防げないことです。

キャッシュレス決済事業を開始する場合の厳しい認可基準や指導検査の必要性を示しています。

ネット専業銀行に求められるような厳しい仕組みをキャッシュレス決済事業にも導入して低レベルの安易な参入に歯止めをかけるべきです。

7pay開始から即トラブル、不正アクセス

7payのスマホ決済が不正アクセスで大きなトラブルになりました。

セブン-イレブンを中心とするセブン&アイ・ホールディングス(7&i HD)のコード決済サービス「7pay」(セブンペイ)が7月1日に始まりました。

7payは、初日のアクセス集中による障害と、不正アクセスによる不正利用で金銭被害を起こしてしまいました。

7payの不正アクセスでわかった闇名簿リストの存在と運営会社の甘さ

セブンイレブンは、PayPayやLINE Payの20%還元祭りを外から眺めて指をくわえているだけでした。

7payは、そんなセブンイレブンにとって念願のコード決済サービスです。

7月1日を待ち望んでいたセブンイレブンのファンの多さと、サービスイン当初の詰めの甘さを悪い人たちがしっかりと狙っていたことを甘くみていたようです。

さらには、社長の「二段階認証?」(困り顔)、「二段階うんぬんは…」発言が飛び出して「7payの社長はガラケーじゃね?」疑惑は、パソコンを使わないと堂々と発言したIT大臣を思い出させます。

別に社長がITのプロである必要はないんです。他社のサービスを体験したり、まともな勉強会さえ実施していない甘さを露呈してしまったのが問題です。

PayPayのトラブルやゲームアプリがなぜ先行登録するのか学んでいない

7payがサービスインするよりも前に、PayPayやLINE Pay、メルペイなど大きくニュースで扱われたスマホ決済がサービスインしています。

PayPayではクレジットカードの名義人以外のアカウントにクレジットカードが登録できてしまう穴がありました。

過去に不正流出したクレジットカード情報の闇名簿リストを、インターネットにある闇サイトで入手できれば、不正利用できてしまう可能性があったのです。

今はPayPayにクレジットカードの本人認証サービスが導入されて、その手口は封じられました。

 

 

ゲームの開始日には大量のアクセスが集中する

オンラインゲームやゲームアプリは、サービス開始日に大量のアクセスが集中します。

アクセスが集中して、アカウントの登録やキャラクターの作成がなかなか出来なかったり、同時アクセス数が多すぎてゲームの遅延を招いたりします。

ゲーム会社はそんな経験から、ゲーム開始日に先立って事前登録受付をします。

事前登録させることで初日にアカウント作成やログインのサーバーに大きな負荷が出ないように対策しているのです。

また、新規登録作業はけっこうな時間を要します。

サーバーとの接続を長い時間占有されないように、キャラクター作成をあれこれ事前に試すことが出来るようにしたり工夫しています。

7payやFamiPayはライバルのコード決済だけでなく、アプリ市場の大きな部分を占めるスマホゲームアプリにも目を向けて学んでおくべきでした。

直近に話題になった2020東京オリンピックの観戦チケット申し込みでも、チケット申し込み開始よりかなり前から、まずID登録だけを先行してやらせていました。

7payに海外からアクセス出来ていた甘さ

7payは日本国内向けのサービスであるにも関わらず、海外からのアクセスを制限していませんでした。

アプリでは通常、アプリからの通信か、日本国内からの通信かをチェックしてアクセス制限しています。

そういったチェック部分も甘かったようで、問題が発覚してから海外からのアクセスを閉じた模様です。

7payにリアルタイムモニタリングの甘さ

クレジットカード会社は、不正利用を24時間システム監視しています。

AIを用いた自動検出の仕組みや人によるチェックなどを行ない、怪しい取引があるとクレジットカードの名義人にすぐ連絡をしたり、一時的に利用停止する仕組みがあります。

7payは、そういったサービス自体の監視や警告の仕組みが整っていなかったと思われます。

スマホ決済はインターネット上のサービスですから、サーバーの状態や負荷、回線の混み具合は当然監視されていたと思います。

サービス自体の監視や警告の仕組みは、サーバーやサービスが正常か過負荷かといった監視とは別です。

サービス自体の監視や警告の仕組みは、通常の取引では考えられない、有り得ないようなことが起きていないか、異常なアクセス集中がないかなどをリアルタイムでモニタリングします。

今回、問題視されたパスワード再設定の仕組み(パスワード再設定のメールを登録外のメールアドレスに送れて乗っ取りが簡単に出来てしまうセキュリティホール)はサービス開始当初にアクセスが集中するわけがない部分です。

パスワード再設定という特定の部分に異常なアクセスが集中していることにすぐに気付くことが出来れば、ここまで被害を拡大させなかったでしょう。

大手ウェブサービスの共通IDでログインできる仕組みにおいても、国際的に策定された決められた手順を守らないシステム開発が行なわれたという報道もあります。

セキュリティ保持のために存在するルールさえ無視して開発していたのであれば大きな問題です。

7月5日、7payはモニタリング体制を強化したことを表明しました。

7pay不正利用をパスワードやクレジットカード情報の流出がなくても安心できないことがわかった教訓にする

7payの不正利用事件で、パスワードやクレジットカード情報が含まれていない情報流出であっても安心できないことがわかったのはひとつの教訓です。

ほとんどのサービスで新規に会員登録する際、名前や住所、電話番号、メールアドレスなどを入力します。

今回の7payの不正利用ではそれらの情報だけでアカウントを乗っ取ることが出来た可能性があります。

オンラインショップやサービスで不正アクセスを受けて会員情報が大量に流出したとき、「パスワードは流出していません」「クレジットカード情報は流出していません」とアナウンスされるとホッとしていませんか?

それが全然ホッと出来ないことが証明されてしまいした。

 

パスワードやクレジットカード情報が含まれていない情報は、それらが含まれている名簿リストに比べて安価で闇サイトや名簿屋で取引されています。

オンラインショップなどからの流出以外に、プレゼント企画やアンケートで安易に個人情報を入力してしまったものや、個人情報や連絡先情報を密かに抜き取っているアプリからの個人情報流出や、SNSで自ら明らかにしている情報から作られた名簿リストなどがあります。

 

今回の不正利用はコンビニが舞台です。犯行がコンビニの防犯カメラにしっかり映っているのがせめてもの救いです。

 

FamiPay 不正利用は大丈夫?

7payで不正アクセスからの不正利用があったら、同時にスタートして同じように通信障害を起こしたファミペイのほうも不安になるのは当然かもしれません。

実際、ファミペイに多数の問い合わせがあったようです。

ウェブサイト上にFamiPay運営会社がコメントを掲載しています。

ファミマのアプリ
ファミマのアプリなら、いつものお買い物がさらにおトクに!
www.family.co.jp
タイトルとURLをコピーしました