佐野正弘(ITライター)

 セブン&アイ・ホールディングスが7月より提供を開始したスマートフォン決済サービス「7pay(セブンペイ)」が、サービス開始当初からセキュリティーに大きな問題を抱えていたことで不正利用が相次ぎ、3日間で900人、合計約5500万円の被害に遭ったことが分かり、メディアで大きく報じられている。不正利用による逮捕者も出たことで、非常に深刻な事態を生み出していることが分かる。

 だが、問題はそれだけにとどまらない。7月4日に7payの運営会社であるセブン・ペイが実施した記者会見で、同社の小林強社長が、記者から「2段階認証」を導入していない理由について問われた際、2段階認証そのものを知らない様子を見せたことが、大きな驚きをもたらした。

 2段階認証とは、要するにインターネットサービスでよく用いられているIDとパスワードによる認証に加え、もう一つ別の手段を用いて認証するというものだ。

 IDとパスワードが盗まれても、不正利用されないように、ID・パスワードとは別の方法で認証する仕組みが用いられることが一般的だ。携帯電話のショートメッセージ(SMS)に送信したコードを入力してもらう方法と聞けば、実際に使った人もいるかもしれない。

 最近では、7payと同じスマートフォン決済サービスをはじめ、多くのインターネットサービスがセキュリティー向上のため2段階認証を用いているが、7payには導入されていなかった。

 つまり、2段階認証を導入していなかったため、犯人側が何らかの手段でIDとパスワードを入手するだけで、容易にサービス利用ができてしまう状態だった。まだ明確には判明していないようだが、不正利用の原因の一つになったのではないかといわれている。

 そうしたことから、記者会見で先述の質問が出たのも当然だ。ところが、セキュリティーが強く求められる決済サービスを提供する企業のトップが、そうしたインターネットセキュリティーの基本というべき要素を知らない様子を見せてしまったのである。セブン・ペイ側の認識の甘さを示すとともに、批判が一層高まる要因になったといえるだろう。
記者会見するセブン・ペイの小林強社長(中央)ら=2019年7月4日
記者会見するセブン・ペイの小林強社長(中央)ら=2019年7月4日
 7payはその後、サービスの新規会員登録や料金のチャージを停止し、セキュリティー向上のためのシステム改善を実施しているとみられる。だが、今回の「7pay問題」は、大きく二つの問題を露呈したといえる。まず、先の会見で示されたように、サービスを提供する事業者側のセキュリティー、ひいてはITやテクノロジーに対する意識の低さや、認識の甘さである。