セブン&アイ・ホールディングス(7&i HD)傘下セブン・ペイのQRコード決済システム「7pay(セブンペイ)」の一部アカウントが不正アクセスの被害を受けた。同社は不正利用を防ぐためにユーザーに「ログインID・パスワード、認証パスワードの管理」についての注意喚起をし、また新規登録を一時停止している。
セキュリティー対策の甘さが問題となったが、同様にQRコード決済サービスを提供する会社は様々ある。各社はセキュリティー対策をどのように取っているのか。
J-CASTニュース編集部は2019年7月5日、各社の対応を取材した。
-
セブンイレブンのアプリを開くと新規登録ボタンと動く食べ物が… -
新規登録ボタンを押すと「現在7Payの新規登録を一時停止しています」の一文
PayPay、第2弾CPでの不正発生率は「0.0004%」
決済サービスときいて最初に思い浮かぶのは、「PayPay(ペイペイ)」(ソフトバンクとヤフーの合弁会社)だろう。同サービスをめぐっては2018年12月に実施された「100億円をあげちゃうキャンペーン」が注目された一方で「身に覚えのないカード利用請求が届いた」などという不正被害の報告がTwitter上でもあがり、クレジットカード会社が提供する本人認証システム「3Dセキュア」を追加導入することになった。
「PayPay」広報担当者は、同キャンペーン実施期間中(4日から13日)の不正発生率が「0.996%」だったのに対し、本人認証サービス(3Dセキュア)導入後(2019年1月21日から5月13日)には「0.003%」、続く「第2弾100億キャンペーン」開催期間には「0.0004%」まで下がったという。
「現時点で不正利用率はウォッチしており限りなく0に近い数字になっている。ある程度対策はできていると考えている」と語る。
また利用登録時に電話番号と「PayPay」のアカウントIDが紐づくようにSMS認証を行い、IDとパスワードが誰かに盗まれても本人の電話番号からしかログインできないシステムになっているという。そして「主にクレジットカードが不正利用の対象」となるため、登録後のセキュリティー対策として「3Dセキュア」の導入と、ユーザーがあらかじめカード会社に届けた暗証番号を入力しないとクレジットカードの利用限度額を極端に下げている。
「『3Dセキュア』を設定していないユーザーに対しては30日間で5000円までしか利用できないようになっている。リスクを冒してまで不正利用をするモチベーションにならないような限度額を設定しているため、まずここで不正がおきないようになっている。本人認証をされたクレジットカードは過去30日間で5万まで使用できる。さらに(セキュリティ上)ロジックは話せないが(PayPayが定める)一定の条件をクリアしたユーザーは過去30日間で25万までクレジットカードで利用できるようになっている」
「7Pay」と同じく7月1日から「Famiペイ」をスタートした、ファミリーマートの広報部担当者も、
「『Famiペイ』ログイン時にIDに電話番号、パスワード認証をすることに加えて、ご登録いただいた電話番号にSMS認証をしている。加えて『Famiペイ』利用時には暗証番号を設定し、3段構えにしている」
と回答した。