IT・AI・IoT・製造などビジネスに役立つ製品や企業などの最新情報・最新ニュースを随時更新

  • ニュース
  • 7pay 二段階認証を導入へ チャージ上限見直し・セキュリティ対策プロジェクトもあわせて発足

7pay 二段階認証を導入へ チャージ上限見直し・セキュリティ対策プロジェクトもあわせて発足

7pay 二段階認証を導入へ チャージ上限見直し・セキュリティ対策プロジェクトもあわせて発足

7月1日から始まったセブン&アイ・ホールディングスの独自コード決済である7payは、7月2日に不正アクセスが発覚し、900人が総額5500万円の被害にあったと同社は公表した。

7payは、独自の7iDというアカウントと、そのパスワードが盗まれると2段階認証もなくそのまま第三者がログインできてしまう脆弱なシステムだった。しかも、パスワード再設定時に別のメールアドレスが使えたので、7iDと登録した生年月日、電話番号が盗まれてしまうと、パスワードも自由に変更できた。

チャージ用には別のパスワード必要だが、そのパスワード設定のルールが、半角小文字の英数字もしくは数字を使った6〜16文字の文字列という簡単なものだった。大文字小文字の混在や英数字混在などのルールも設けなかったので、英単語や自分の名前の一部などを設定している場合はパスワードを破られやすい状態だった。7iDと同じパスワードにしている場合はなおさらだったのだ。

ユーザーからは、各種Webサービスで一般的な二段階認証も利用されていないなど、「7pay」の本人確認の方法が簡単すぎることへの批判が相次いでいた。

セブン&アイ・ホールディングスは7月5日、セキュリティ対策を強化すると発表した。既にサービス運営元のセブン・ペイで、モニタリングを行う人数と項目を増やした。今後は、二段階認証の導入や、チャージ1回当たりの上限額の見直しも予定している。

セブンペイの運営会社セブン・ペイの小林強社長は4日の会見で、2段階認証を導入していなかった理由について、他社のような専用アプリではなく、既存のセブン―イレブンアプリに決済機能を追加する形でセブンペイを導入したためと説明。「2段階うんぬんと同じ土俵で比べられるのか、認識していない」と述べていた。一夜明け、一転して対策に乗りだした形だ。

同日、被害状況の把握や原因究明のために「セキュリティ対策プロジェクト」を立ち上げた。社外のアドバイザーをメンバーに迎え、経産省などが決済事業者に求めるガイドラインに基づき、対策を講じていく方針だ。

セブン&アイ・ホールディングスの対応策
・「7pay」に二段階認証を導入
・「7pay」へのチャージ1回あたりの上限額を見直し
・グループ横断的・包括的なセキュリティ設計コンセプトの見直し
・セキュリティ評価方法および範囲の見直し

このほか、関係企業や自治体で組織する「キャッシュレス推進協議会」の定めるガイドライン等に基づいた対策を講じる、と発表している。
なお、キャッシュレス推進協議会の理事には、セブン-イレブン・ジャパンの古屋一樹取締役会長が就任している。

Comments

comments

この記事についているタグ

今話題のニュース・記事

今話題の特集・コラム