2段階認証ないことが原因かは...「何とも言えません」
セブン-イレブンやセブン・ペイも加入している業界団体のキャッシュレス推進協議会では、別のスマホ決済「PayPay」の不正使用などもあって、バーコード決済サービスの各種ガイドラインを3~4月に定めた。
そこでは、サービスに当たって、利用者のスマホと決済用のアプリを紐づけて管理しなければならないとした。また、アプリを使った決済では、紐づけられた利用者のスマホから行われていることをその都度確認するとしている。
つまり、SMSを使った2段階認証をうたったものだ。
経産省は、協議会にオブザーバー参加しており、このガイドラインが遵守されていなかったとして、協議会のメンバーにその徹底を求めている。
同省のキャッシュレス推進室は7月5日、「今回は、基礎の基礎をやっていなかったということです。2段階認証をしないと、どんなサービスでも危ないことになります」とJ-CASTニュースの取材に答えた。
セブン・ペイが業者登録している金融庁は同日、「会社からは、今回の報告を逐次受けています。被害者への対応や当面の不正利用の防止について万全の措置を取って下さいと指示しました」と取材に話した。
7payの運営に関わるセブン&アイ・ホールディングスは、2段階認証を行っていなかったことなどについて、広報担当者がこう説明した。
「それが今回の原因かどうかは、何とも言えません。一定のセキュリティレベルに対応していましたが、万全だったとは言えないとも考えています。原因については、継続的に調べていますが、調査が終わる時期についてはまだ申し上げられないです」
7payではすでに、チャージや新規登録を停止しているが、チャージ分の決済はできるようになっている。
ネット上では、原因が分かるまでサービスそのものを停止すべきだとの声も多いが、「今後のことは、状況次第ですが、お客さまの利便性を考えてサービスを継続しました」と広報担当者は話している。
(J-CASTニュース編集部 野口博之)