松岡功の一言もの申す

「7pay」問題にみる決済システムのセキュリティ事前チェックに対する法整備の必要性

松岡功

2019-08-08 10:24

 コンビニ最大手セブン-イレブンのスマートフォン決済サービス「7pay(セブンペイ)」の不正アクセス問題で、セブン&アイ・ホールディングス(HD)は8月1日、同サービスを9月末で廃止すると発表した。本稿ではこの問題を考察したい。少なくとも決済システムのセキュリティについては、事前チェックを強制的に行えるようにする法整備が必要ではないか。

7payの不正アクセス問題で露呈したセキュリティの甘さ

 7payは7月1日にサービスを始め、登録者数は約150万人を数えた。だが、サービス開始直後に不正アクセスによる被害が多発し、同月4日に事実上、サービスを全面停止した。その後、入金など一部機能を制限して再開を目指してきたが、セキュリティ対策に時間がかかることから廃止を決めた。

 確認された被害は7月末時点で約800人、約3800万円に上る。セブン&アイHDでは、10月から2020年1月にかけて残高のある利用者に払い戻し対応をとる。今後、判明した分も全額を補償するとしている。

 不正アクセスの手口について同社では、他企業などからネット上に流出したIDやパスワードを機械的に入力する「リスト型攻撃」の可能性が高いとの認識を示した。リスト攻撃を受ける危険は他のスマートフォン決済サービスも同じだが、7payが不正を許したのは、他の多くのサービスでは使われている「2段階認証」の未導入など、セキュリティの甘さがあったからだ。

 この問題については、メディアでもさまざまな論評がなされている。例えば、日経新聞7月10日付の社説では、「日本は海外の主要国と比べても現金の利用比率が高いが、キャッシュレス化により小売店の運営などを効率化する必要がある。10月の消費増税を機に官民がキャッシュレス化を進めようとしており、こうした時期に信頼を損ねたセブン&アイの責任は重い」と指摘している。

 このように、今回の問題がさまざまな影響を及ぼす可能性について考察することは非常に大事だが、それとともにこうしたことが再発しないような手立てをどう講じるか。それもセブン&アイHDだけの話ではなく、これから企業が決済サービスを行う上での確固たる取り決めが必要だと、筆者は考える。その基本的な考え方は、決済システムのセキュリティについて事前チェックを強制的に行えるようにするための法整備が必要ではないか、というものだ。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]