7pay騒動から学ぶべきはIDの大切さだ

7payの不正使用騒動は、不正が報告され始めた2日から2日あまり経って、ようやく全てのチャージと新規登録を停止することとなったが、既にチャージしたものは依然として利用可能だ。7pay側の説明では利用者の利便性を考慮した上での決定だとのことだが、これで不正を行った犯人は盗んだチャージ金を使い続けることができる。7payとしては本音のところは7payの使用を止めると、セブンイレブンの売り上げ減につながることを恐れたのではなかろうか。

それはともかく、新規のチャージが止まっているので、現在チャージされている残高が使い尽くされると、7payは自動的に停止せざるを得ない。だから、目下のところ7payは必死に原因の特定とシステムの改修に取り組んでいるのだろう。

今回の不正事件の原因は、未だ完全に特定されてはいないが、ネット上等で指摘されているものを簡単に説明すれば次にようになる。

7payが内蔵されているセブンイレブン・アプリにログインする際は、IDとパスワードが必要だが、パスワードを忘れたときのためにパスワードの再設定機能が設けられている。この再設定機能を利用のに必要なのは、アプリにログインする際のID(メールアドレス)と生年月日と電話番号という、不正を働こうとする者からすれば簡単に入手できるものばかりだ。

そしてもっと悪いことには、新パスワードの設定画面を案内する7payからの連絡メールを、元のアドレス以外の別のアドレスでも受け取れるようになっているのだ。

これを犯人が悪用すると、犯人の端末に7payの連絡メールを送らせ、そこから犯人が独自にパスワードを新たに設定して、被害者のセブンイレブン・アプリを乗っ取ってしまうのだ。

今回の一番の問題点は、パスワード再設定の案内メールを別のメールアドレスでも受け取れることではあるが、これは普通ではあり得ない大きなチョンボで、他の同じような決済システムではまずあり得ないことだと思う。

しかし、アプリにログインする際のIDにメールアドレスを使っていることは、7pay以外でもちょくちょく見られるので、他への波及という点ではこちらの問題の方がある意味で深刻で、世間はこちらに注目すべきだ。

IDというのは、アイデンティフィケーションの略語だから、個人が本人であることを証明する身分証明書などを指す言葉だ。これがITの世界では、ユーザー名やアカウント名を表すものとして使われているが、個人の本人性を表すという意味では、身分証明書となんら変わらない。

しかし、これがIDというアルファベット表記になった途端に、元の意味が忘れられがちだ。

今回の7payのようにIDをメールアドレスにしているのは、まさにそうしたID軽視の表れだし、セキュリティの高いネットバンキングなどでも、パスワードの入力はソフトキーボードを使い、かつ、入力内容は「●●●」というように隠されるものの、IDは普通のキーボードから、しかも入力内容は丸見えというものも多い。

今回の7payの事件の記者会見で質問が出たように、ショートメッセージサービスを使って本人確認をするいわゆる二段階認証の仕組みを取り入れていれば、今回の不正事件は防げた可能性が高い。

本人確認の手法として現時点で一番のものは、顔や指紋を使った生体認証だが、専用のシステムや設備のコストなどの問題がある。二段階認証は、使う人にはひと手間余計にかかるが、次善の策かも知れない。生体認証を使ってセキュリティが高くしかも操作が簡単な本人確認技術が開発されることが、待たれる。

(文責:有地浩)

★本レポートはアゴラ

http://agora-web.jp/?s=+%E6%9C%89%E5%9C%B0%E6%B5%A9

に掲載された内容を転載いたしました。

 

 

 

研究調査等紹介

日韓条約破棄なら日本資産の返還要求が可能(寄稿)

半島からの日本人追放がそもそも国際法違反 日韓請求権協定をめぐる不幸の始まりは、朝鮮半島の独立が日本の了解なく .....

フェイスブックの仮想通貨「リブラ」は潰される

6月18日、フェイスブックは来年前半にも独自の仮想通貨リブラを発行すると発表したが、早くも発表の翌日、アメリカ .....

ブレグジットでMI6暗躍も:国際スパイ戦争に置き去りの日本

EUからの離脱について、イギリスは6月30日までの延期をEU側に求めたが、EU側は4月12日までに離脱協定案の .....