セブン&アイ・ホールディングス傘下のセブンペイのQRコード決済システム「セブンペイ」の一部アカウントが不正アクセスの被害を受けました。
コレにより、大混乱していますが、どうしてこんなにセキュリティーが甘かったんでしょうか?
また他のコード決済サービスとの違いは?
色々と検証してみましょう。
セブンペイのセキュリティの甘さはどうして?
コンビニ最大手「セブンイレブン」のスマホ決済「セブンペイ」で不正アクセス被害が発生しました。
一部のアカウントが第三者にIDを乗っ取られ、クレジットカードから不正にチャージされ、買物に使われるといったケースが多数報告されましたよね。
6月4日午前6時の時点で被害者は約900人、被害額は約5500万円に上ると言われました。
キャッシュレスかが進む日本で、大きな衝撃を与えたのは間違い無いです。
政府も怒っていることでしょうwww
令和元年7月1日にリリースして直後に大事故を起こしてしまったセブンペイ。
ネット上にも
「セキュリティのずさんさに愕然とする」
「開始早々こんなことになって、もう誰も使わないでしょ」
といった批判が噴出していますね。
そんな中、セブン&アイ・ホールディングスが7月4日に緊急会見を開きました。
その会見で清水健執行役員が
「あらゆるサービスについて、事前にセキュリティ審査をやっている。セブンペイもきちんと確認したが、脆弱性はなかった」
と強調したことで、ますます世間の人々を呆れさせましたよね・・・
きちんとやってコレなのか!ってことです。
更にセブンペイは登録時に二段階認証(利用者認証を2回に分けて行う手法)を採用しておらず、マスコミからは
「それがセキュリティの甘さにつながったのではないか?」
といった質問も出ましたが、株式会社セブンペイの小林強社長が
「二段階認証・・・?」と言葉を詰まらせ、曖昧な回答にとどめたことも問題視されています。
ネットでは
「決算サービスを扱っているのに、何故社長が二段階認証を知らないの?」
「事故が起きたのは必然だったと思わざるを得ない」
といった厳しい意見が出ています。
まあ、当然ですよね・・
このセブンペイのセキュリティの甘さは経営陣にあるんだと思います。
確かにセキュリティなどを対策している人は別にいるんだと思いますけど、その人達の意見をきちんと取り入れているんでしょうか?
こういった上の人達が何もわかってない状態が一番駄目だと思いますけどね・・
その人の下で働いている人が可哀相ですけど・・・
もっと、会見の時もセブンペイの事に対してわかっている人が発言するべきじゃないですかね?
これだと使用している人が不安になるだけです。
2段階認証をするという発表もありましたけど、遅きに失する感じはしますけどね。
それでもやらないよりはやった方が良いですから、今後のセブンペイに期待します。
他のコード決済サービスとの違いは?
・PayPay、第2弾CPでの不正発生率は「0.0004%」
決済サービスと聞いてまず浮かぶのはPayPayではないでしょうか?
2018年12月に実施された「100億円あげちゃうキャンペーン」はめちゃくちゃ注目されましたよね。
しかし「身に覚えのないカード利用請求が届いた」などという不正被害の報告がツイッター上でもあがり、クレジットカード会社が提供する本人認証システム「3Dセキュア」を追加導入することになりました。
その結果不正発生率が「0.996%」だったのに対し、本人認証サービス(3Dセキュア)導入後は「0.0004%」まで下がったという事です。
また利用登録時に電話番号と「PayPay」のアカウントIDが紐づくようにSMS認証を行い、IDとパスワードが誰かに盗まれても本人の電話番号からしかログイン出来ないようになっています。
また、登録後のセキュリティー対策として「3Dセキュア」の導入と、ユーザーがあらかじめカード会社に届いた暗証番号を入力しないとクレジットカードの利用限度額を極端に下げています。
「3Dセキュア」を設定していないユーザーに対しては30日間で5000円までしか利用出来ないようになっているという事ですね。
リスクを冒してまで不正利用するもちべーしょんにならないような限度額を設定しているため、まずここで不正が起きないようになっています。
本人認証をされたクレジットカードは過去30日間で5万まで使用できます。
さらにロジックは話せませんが、(PayPayが定める)一定の条件をクリアしたユーザーは過去30日間で25万までクレジットカードで利用出来るようになっているということです。
・Famiペイ
セブンペイと同じく7月1日から「Famiペイ」をスタートした、ファミリーマートの広報部担当者も
「Famiペイ」ログイン時にIDに電話番号、パスワード認証をすることに加えて、ご登録いただいた電話番号にSMS認証をしています。加えて「Famiペイ」利用時には暗証番号を設定し、3段構えにしている」
ということです。
・LINEペイ
LINEペイでは
1.本人確認制度
2.LINEペイ専用パスワード
3.安全なクレジットカード決済
4.情報の暗号化
5.モニタリング体制の整備
6.利用者補償制度の採用
というのを掲げています。
メルカリのサービス「メルペイ」も同様で
「法令などで求められる本人確認を厳格に実施するとともに、SMSによる認証等キャシュレス推進協議会が定めた各種ガイドラインに準拠した対策を講じています」
「また、これらの対策に加えて、「24時間/365日」での取引モニタリングシステムの稼働+目視監視を実施し、リアルタイムで不正取引の検知・利用制限を実施しています。不正取引が発生する予兆を検知した場合には、迅速に調査及び取引制限を実施し、実際の不正取引の発生を未然に防ぐ様に努めています」
ということです。
楽天ペイでも複数回にわたって本人認証のプロセスを踏むということですね・・・
つまりどこの決済サービスもきちんと対応しているという事です。
そう考えると以下にセブンペイのセキュリティがお粗末だったのかがわかります。
よくGOサイン出しましたよね・・・
今後、改善してセキュリティの強化を充分にして欲しいと思います。
そうじゃないとお客さんが逃げていきますからね・・
クレジットカードの記事はこちら↓
コメントを残す