ここから本文です

7pay騒動から見えた、モバイル決済の懸念 生き残るために必要なものとは?

7/17(水) 14:24配信

ITmedia Mobile

 サービス開始から3日目には不正利用が表面化し、翌7月4日には関係会社3社の幹部らによる緊急会見が実施された「7pay」だが、その後も問題が収束する気配は見えない。セブン-イレブン・ジャパンとしては初の沖縄進出で全国47都道府県制覇となる同県内での14店舗同時オープンが実施されるなか、同日夕方にはセキュリティ対策の一環としてTwitterやFacebookなど外部IDからのアクセス遮断が発表され、関係者らによる対策が現在もなお内部で進んでいる。

「ファミペイ」の特徴

まだまだ長引く7pay問題

 7pay問題の根は深い。筆者の知り合いが7payで30万円の不正利用被害に遭ったことはさまざまな媒体で紹介しているが、モバイル決済の専門家である知り合いの被害者が細心の注意を払ってIDとパスワードの設定を行ったにもかかわらず、設定から1日とたたずに登録したカードから30万円のチャージが行われ、1時間ほどの間に関東圏内の離れた場所にある3店舗で一気に利用された。

 その道のプロでさえこの状態であり、ほぼ全てのユーザーはこの問題に関してなすすべはないだろう。しかも7月11日に発表された外部ID遮断は、「OAuth(オーオース)」と呼ばれる外部サービスの認証機構を利用する仕組みに関するもの。7payが導入された「セブンイレブン」アプリなどのモバイルアプリにおけるOAuth関連の実装に問題があり、ターゲットとなる外部IDサービスのユーザーIDさえ分かれば、パスワードなしでセッションに介入できる状態だったという話がある。

 だが筆者の知り合いのケースを見る限り、これだけでは7payでのチャージパスワードは解析できないため、まだ7payならびに7iDを利用するオムニ7関連全てのサイトに何らかの問題が内在している可能性が高いと考えている。

 実際、セブン社内ではまだ混乱が続いているようで、セキュリティ対策と顧客サポートの両面で手が回っていない印象を受ける。

 後者について、前述の知り合いの30万円被害が含まれたカード請求額が確定したということでカード会社に問い合わせたところ、この問題についてはセブンイレブン側に問い合わせてほしいとの回答だったという。7月4日の会見でセブン側では被害者への全額補償に言及しているが、これは現時点でなおカード会社との交渉が進んでいないことを意味する。

 このケースでは10日締めのカードだったが、今後7月初旬の不正利用が含まれた請求額が15日、20日という締め日の形で次々と確定していく中、この対応に不安を抱く被害者は少なくないだろう。実際に引き落としが行われるかも含め、セブンやカード会社(イシュア)の動向を引き続き追いかけていくつもりだが、1~2カ月程度で収束しない問題なのは確かだ。

1/3ページ

最終更新:7/17(水) 14:24
ITmedia Mobile

こんな記事も読まれています

あなたにおすすめの記事