7月1日からサービス開始の「7pay」でおよそ900人が第三者による不正アクセスの被害に遭い、被害額はおよそ5500万円に上る可能性があると運営会社が発表しました。(4日午前6時の時点の試算)
<7PAYの仕組みを調べると>セブン-イレブンの店頭で購入時、スマホで代金を決済する。あらかじめお金をチャージしておく。チャージの方法はいくつかあるが、関連サイト(https://yenless.com/7pay-start/)ではクレジットカード決済が推奨されている。今回NHKのインタビューに応じた男性も、クレジット決済をしていたことがわかる。
<不正アクセスをどうして知ったの?>①チャージした、とのメールが届いた。②変だな?と思ったが不正アクセスとまでは思わなかった。③念のためスマホのアプリでログインすると、チャージのすぐ後に、使われているのがわかった。④クレジット会社に連絡してチャージをとめてもらう。⑤しかし、約30万円の被害にあった。
<犯人は誰?>新宿の店舗で中国人2人が逮捕され、、「通信アプリで指示されてやった。店に入る直前に7、8人分のIDとパスワードが送られてきた」と供述
<IDとパスワードがわかればそんなに簡単に詐欺ができるのか?>
私はスマホ決済をしたことがないので、スマホそのものがないと決済できないのかと思っていたが、そうではなく、スマホのアプリを開いて、IDとパスワードからログインすれば、どのスマホからでも買い物ができるということらしい。これなら、他人のクレジットカードを不正使用するより、この詐欺のほうがずっと簡単だ。
<でもそれにしても、あまりに簡単すぎない?>そう思って、調べると決済時に認証パスワードが必要とある。運営会社は通常パスワードと認証パスワードを同じものを使っていると被害にあう、とコメントしている。しかし本当のところはパスワードの再設定の脆弱性にあるのでは?という記事をみつけた。(https://www.itmedia.co.jp/news/articles/1907/04/news116.html)生年月日、会員ID、電話番号がわかれば、再設定できるとのこと。連絡メールもフリーメールを使えばできるし、生年月日は総当たりで入れていけば新しいパスワードの設定ができるとの事で理解できた。
セキュリティについて
運営元のセブン・ペイが7月4日の謝罪会見の中で、記者が「なぜ、二段階認証を導入していなかったのか」と質問しましたが、同社の小林強社長が明言を避け、ネット上で波紋を呼んでいます、との記事があった。
パスワードの再設定の脆弱性や二段階認証の不導入等、なぜ予見できなかっとのかな?と思いますね。スマホ決済の先進国の中国の詐欺グループから見れば、誠にいいカモだったのかもしれないな。