それはともかく、新規のチャージが止まっているので、現在チャージされている残高が使い尽くされると、7payは自動的に停止せざるを得ない。だから、目下のところ7payは必死に原因の特定とシステムの改修に取り組んでいるのだろう。

今回の不正事件の原因は、未だ完全に特定されてはいないが、ネット上等で指摘されているものを簡単に説明すれば次にようになる。

7payが内蔵されているセブンイレブン・アプリにログインする際は、IDとパスワードが必要だが、パスワードを忘れたときのためにパスワードの再設定機能が設けられている。この再設定機能を利用のに必要なのは、アプリにログインする際のID(メールアドレス)と生年月日と電話番号という、不正を働こうとする者からすれば簡単に入手できるものばかりだ。

そしてもっと悪いことには、新パスワードの設定画面を案内する7payからの連絡メールを、元のアドレス以外の別のアドレスでも受け取れるようになっているのだ。

これを犯人が悪用すると、犯人の端末に7payの連絡メールを送らせ、そこから犯人が独自にパスワードを新たに設定して、被害者のセブンイレブン・アプリを乗っ取ってしまうのだ。

今回の一番の問題点は、パスワード再設定の案内メールを別のメールアドレスでも受け取れることではあるが、これは普通ではあり得ない大きなチョンボで、他の同じような決済システムではまずあり得ないことだと思う。

しかし、アプリにログインする際のIDにメールアドレスを使っていることは、7pay以外でもちょくちょく見られるので、他への波及という点ではこちらの問題の方がある意味で深刻で、世間はこちらに注目すべきだ。

IDというのは、アイデンティフィケーションの略語だから、個人が本人であることを証明する身分証明書などを指す言葉だ。これがITの世界では、ユーザー名やアカウント名を表すものとして使われているが、個人の本人性を表すという意味では、身分証明書となんら変わらない。

しかし、これがIDというアルファベット表記になった途端に、元の意味が忘れられがちだ。

今回の7payのようにIDをメールアドレスにしているのは、まさにそうしたID軽視の表れだし、セキュリティの高いネットバンキングなどでも、パスワードの入力はソフトキーボードを使い、かつ、入力内容は「●●●」というように隠されるものの、IDは普通のキーボードから、しかも入力内容は丸見えというものも多い。

今回の7payの事件の記者会見で質問が出たように、ショートメッセージサービスを使って本人確認をするいわゆる二段階認証の仕組みを取り入れていれば、今回の不正事件は防げた可能性が高い。

本人確認の手法として現時点で一番のものは、顔や指紋を使った生体認証だが、専用のシステムや設備のコストなどの問題がある。二段階認証は、使う人にはひと手間余計にかかるが、次善の策かも知れない。生体認証を使ってセキュリティが高くしかも操作が簡単な本人確認技術が開発されることが、待たれる。

（文責：有地浩）

★本レポートはアゴラ

http://agora-web.jp/?s=+%E6%9C%89%E5%9C%B0%E6%B5%A9

に掲載された内容を転載いたしました。