経済産業省は7月5日、特定のコード決済サービスにおいて、不正利用される事案が発生したことを受け、セキュリティの徹底を各決済事業者に要請した。
これは、7月1日にサービスを開始した、セブン&アイ・ホールディングス傘下のセブン・ペイが提供するスマートフォン決済サービス「7pay」で発生した不正利用問題を受けての要請とみられる。この問題は、7月2日ごろからTwitterなどを中心に、アプリにチャージした金額が勝手に使われていたり、紐付けられたクレジットカードが勝手にチャージされ、支払いされていたケースなどの報告があったことから発覚したもの。
経済産業省では、要請とともに「当該事案の原因は、引き続き究明中ですが、当該コード決済サービスでは、一般社団法人キャッシュレス推進協議会が策定した不正利用防止のための各種ガイドラインが遵守されていませんでした」と述べている。なお、セブン・ペイは、セブン-イレブン・ジャパンとともに、キャッシュレス推進協議会のメンバーである。
同協議会が定めた不正利用防止対策に関するガイドラインでは、セキュリティの基礎認証の項目で「コード決済事業者は、第三者によるコード決済アプリIDやパスワードの不正取得による不正利用を防止するために、利用者のモバイルデバイスとコード決済アプリを紐づけ管理しなければならない」と記されている。
7payでは、他のスマートフォン決済では実装されているSMS認証(スマートフォンの電話番号にSMSで認証コードを送信することで第三者からのログインを防ぐ仕組み)といった二段階認証が実装されておらず、ガイドラインにある「モバイルデバイスとアプリの紐付け」が十分ではなかったと言える。このため、ユーザーが他のサービスと同じログインIDとパスワードを設定し、それが何らかの理由で流出していた場合、簡単にログインできてしまう状態だった。
さらに、7iDのパスワード再発行プロセスにも問題があり、再発行ページに第三者へ送信できるメールアドレス欄が設けられていた。これにより、メールアドレスと生年月日、登録した電話番号が判明しているユーザーであれば、第三者のアドレスに再発行したパスワードを送信することが可能となっていた(現在はウェブサイト上からは見えなくなっている)。そのほかにも、複数のセキュリティ上の問題が判明している。
経済産業省では、決済事業者などに対して、改めて不正利用防止のための各種ガイドラインの遵守を求めるとともに、常に最新のセキュリティ情報を収集。自己のセキュリティ対策を見直した上で、セキュリティレベル向上に努めるように要請している。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス