セブン&アイ・ホールディングス(7&i HD)傘下セブン・ペイのQRコード決済システム「7pay(セブンペイ)」の一部アカウントが不正アクセスの被害を受けた。同社は不正利用を防ぐためにユーザーに「ログインID・パスワード、認証パスワードの管理」についての注意喚起をし、また新規登録を一時停止している。
セキュリティー対策の甘さが問題となったが、同様にQRコード決済サービスを提供する会社は様々ある。各社はセキュリティー対策をどのように取っているのか。
J-CASTニュース編集部は2019年7月5日、各社の対応を取材した。
-
セブンイレブンのアプリを開くと新規登録ボタンと動く食べ物が… -
新規登録ボタンを押すと「現在7Payの新規登録を一時停止しています」の一文
PayPay、第2弾CPでの不正発生率は「0.0004%」
決済サービスときいて最初に思い浮かぶのは、「PayPay(ペイペイ)」(ソフトバンクとヤフーの合弁会社)だろう。同サービスをめぐっては2018年12月に実施された「100億円をあげちゃうキャンペーン」が注目された一方で「身に覚えのないカード利用請求が届いた」などという不正被害の報告がTwitter上でもあがり、クレジットカード会社が提供する本人認証システム「3Dセキュア」を追加導入することになった。
「PayPay」広報担当者は、同キャンペーン実施期間中(4日から13日)の不正発生率が「0.996%」だったのに対し、本人認証サービス(3Dセキュア)導入後(2019年1月21日から5月13日)には「0.003%」、続く「第2弾100億キャンペーン」開催期間には「0.0004%」まで下がったという。
「現時点で不正利用率はウォッチしており限りなく0に近い数字になっている。ある程度対策はできていると考えている」と語る。
また利用登録時に電話番号と「PayPay」のアカウントIDが紐づくようにSMS認証を行い、IDとパスワードが誰かに盗まれても本人の電話番号からしかログインできないシステムになっているという。そして「主にクレジットカードが不正利用の対象」となるため、登録後のセキュリティー対策として「3Dセキュア」の導入と、ユーザーがあらかじめカード会社に届けた暗証番号を入力しないとクレジットカードの利用限度額を極端に下げている。
「『3Dセキュア』を設定していないユーザーに対しては30日間で5000円までしか利用できないようになっている。リスクを冒してまで不正利用をするモチベーションにならないような限度額を設定しているため、まずここで不正がおきないようになっている。本人認証をされたクレジットカードは過去30日間で5万まで使用できる。さらに(セキュリティ上)ロジックは話せないが(PayPayが定める)一定の条件をクリアしたユーザーは過去30日間で25万までクレジットカードで利用できるようになっている」
「7Pay」と同じく7月1日から「Famiペイ」をスタートした、ファミリーマートの広報部担当者も、
「『Famiペイ』ログイン時にIDに電話番号、パスワード認証をすることに加えて、ご登録いただいた電話番号にSMS認証をしている。加えて『Famiペイ』利用時には暗証番号を設定し、3段構えにしている」
と回答した。
取引モニタリングなども合わせ不正調査
ある業界関係者は今回の「7Pay」の失態に対して「びっくりした」と語る。各社の回答からも、それほどまでにSMS認証などのセキュリティ対策は、いわば「当たり前」となっていることがうかがえる。
LINE Payを運営するLINEは取材に対し、公式ブログに掲載した記事などを示した。LINE Payでは2018年6月21日時点で公式ブログに「『LINE Pay』、安全のしくみ」(2019年4月17日最新版に更新)という記事を記載している。そのブログには、
(1)本人確認制度(2)LINE Pay専用パスワード(3)安全なクレジットカード決済(4)情報の暗号化(5)モニタリング体制の整備(6)利用者補償制度の採用
を挙げている。
メルカリのサービス「メルペイ」も同様だ。セキュリティ対策について、
「法令等で求められる本人確認を厳格に実施するとともに、SMSによる認証等キャッシュレス推進協議会が定めた各種ガイドラインに準拠した対策を講じています」 「また、これらの対策に加えて、「24時間/365日」での取引モニタリングシステムの稼働+目視監視を実施し、リアルタイムで不正取引の検知・利用制限を実施しています。不正取引が発生する予兆を検知した場合には、迅速に調査及び取引制限を実施し、実際の不正取引の発生を未然に防ぐように努めています」
と広報担当者がメールにて回答を寄せた。
楽天ペイの広報担当者も具体的にはセキュリティの観点から伝えられないとするが、
「決済セキュリティ周りの対策は基本的には厳重に行っている。楽天ペイで本人認証のプロセスを複数設けて、不正利用が無いようにしている。またユーザー自身が行う認証以外にもバック(ユーザーが目にできない認証プロセスなど)でも色々とプロセスがあり、不正利用の防止に努めている」
と複数回にわたって本人認証のプロセスを踏むとした。