「7pay」不正問題には、日本企業の経営のダメさが凝縮している

これはマネジメントの問題だ
加谷 珪一 プロフィール

「2段階認証って何?」の衝撃

不正アクセスの詳細について会社側は完全に情報を開示していないので、現時点で明らかになっている情報をベースに考察すると、2段階認証と呼ばれる本人確認の仕組みを採用していなかったことと、パスワードを変更する際、登録したメールアドレス以外のアドレスでも手続きができるようになっていたことの2つが大きいと考えられる。

同社以外のQRコード決済サービスでは、本人確認に2段階認証の仕組みを導入している。最初に登録したスマホとは異なるスマホでログインするといった操作を行う場合、携帯電話のSMS(ショートメッセージサービス)にパスワードが送られ、それを入力しない限り次の操作に移ることができない。携帯電話そのものを盗まれない限り、簡単に第三者がアカウントを乗っ取ることはできない仕組みだ。

〔PHOTO〕iStock

ところが7payでは、この仕組みが導入されていなかったことから、パスワードが破られてしまうと、第三者がアカウントを乗っ取ることができてしまう。

会見では、記者から「なぜ2段階認証の仕組みを採用しなかったのか」という質問が出たものの、同社トップが「2段階認証?…」と言葉に詰まる状況となり、逆に記者から2段階認証の仕組みを説明され、はじめてその概念を理解するという出来事があった。

これに加えて同社のサービスでは、パスワード失念などリセットが必要となった場合、あらかじめ登録しているメール・アドレスとは別のアドレスに手続きメールを送ることができる仕組みになっていた。同社は、セブン-イレブンやイトーヨーカドー、ネットショッピングのオムニ7などにおいて、多くの既存会員を擁している。各サービスに共通するIDも発効しているので、既存会員は当然、7payも使うことができる。

 

既存会員の中にはキャリアメール(NTTドコモなど通信会社が提供するメール)でID登録をした人も多く、格安SIMなどへの乗り換えによってキャリアメールが使えなくなっている可能性があることから、別のアドレスも使える仕様にしたという。

若年層でキャリアメールを使っている人はあまり見かけないが、セブンの場合、中高年以上の利用者も多く、キャリアメールでの登録が多かった可能性は高いだろう。だが、パスワードの変更手続きを登録メール以外でもできるような設定にしてしまえば、アカウント乗っ取りが多発するのは自明の理であり、これは明らかにサービスの設計ミスいってよい。