【7pay】不正アクセスを受けないための対策

7pay マネー/クレジットカード/生活

セブン&アイ・ホールディングスのバーコード決済サービス「7pay」で不正アクセスによる被害が続発しているそうです。

こうした被害にあわないためにはどうすればいいのでしょうか?


スポンサーリンク

7payで不正アクセス被害

7payは事前にアカウントにチャージした金額からお店などでの支払いができるコード決済サービスです。

チャージは現金、nanacoポイント、クレジットカード、デビットカードから行うことができます。

今回はどうやら、犯人が被害者の7iDアカウント(7payを使うために必要)の情報を手に入れ、それを自前のスマホにインストールしたセブン-イレブンアプリに入力することで、不正利用できる状態になっていた模様です。

7iDアカウントに登録済みのクレジットカード等から残高をチャージするには別のパスワードも必要なのですが、それを破られて高額のチャージと決済をされた被害者の方もいます。被害額が30万円とか40万円といった高額に及んでいるので、当事者の方はたまったものではありません。

新たにアプリにサインインするときのメールアドレス認証やSMS認証といった仕組みもなかったようで、IDとパスワード(サインイン用とチャージ用)がバレてしまえば、誰でも同じ被害に遭う可能性があるということです。お金を扱うアプリとしてはセキュリティ対策が緩いと感じます。

さらに、IDとしたメールアドレスと生年月日の情報があれば、パスワードを再設定するためのリンクを別のメールアドレスに送れる仕組みになっているという指摘もあります。こんなものは言い逃れできない欠陥仕様です。仕様のレビューとかしてないんでしょうか?


一般に不正アクセスを受けないための対策

まず、現状の7pay(を利用するためのセブン-イレブンアプリ)を利用する限り、どんな対策をしても被害は防げませんので、速攻で7iDからクレジットカード・デビットカードの情報を削除した上で、当分のあいだ7iDから距離を置きましょう。

自分のスマホからアプリを消すだけでは不十分です。

その上で、まともなセキュリティの仕組みを持ったシステムにおいて不正アクセスを防ぐための対策についてです。

パスワードの使い回しは絶対にやめよう

わたし自身もたしか3年ほど前まではパスワードを使い回しまくっていたので、そうしたくなる気持ちは痛いほどわかるのですが、それでもパスワードの使い回しはやめましょう。

ネットサービスの中にはユーザーのパスワードを平文で保管した上に、それを不正アクセスを受けて漏らしてしまうものがいまだにあります。

あるサービスから自分のIDとパスワードの情報が漏れたとき、他のサービスでもそれらを使いまわしていると、すべてのサービスでアカウントを乗っ取られてひどい目に遭わされます。

今回のように自分が経済的な損失を受けるだけでなく、SNSを通じて大切な家族や友達に迷惑を掛けるようなことにもなりかねません。(LINEを乗っ取られて友達にiTunesカードの番号を要求するメッセージが届くというのがありましたよね)

で、パスワードを使い回さずに済ませるためにどうすればいいかというと、パスワードマネージャーを使えばいいのです。

次のようなものがあります。

  • Google / Microsoft / iCloudのパスワードマネージャ
    Google、Microsoft、iCloud(Apple)のアカウントにはそれぞれ無料で使えるパスワードマネージャーの機能があります。Chrome、Edge、Safariなどのブラウザーを使っていると「パスワードを保存しますか?」と聞かれるあれです。
    無料で特別な設定を行わずに使えますが、それぞれ使えるブラウザーが限定されてしまうという制約があります。

  • クラウド型のパスワードマネージャーサービス
    LastPassは基本機能を無料で利用できるパスワードマネージャーサービスです。私はこれを利用しています。他では1Passwordがメジャーですが有料です。
    単体アプリだけでなくブラウザーの拡張機能も用意されているので、使い勝手は万全です。
    IDとパスワードの情報がサービスを提供する会社のサーバーで管理されているため、そちらが破られると面倒なことになりますが、それでもパスワードを使い回すよりはずっと安全でしょう。

パスワードマネージャーはIDとパスワードを保管するだけでなく、それらをサインイン画面の所定の欄に自動入力したり、安全なパスワード文字列を生成したりする機能もあるので、パスワードに関することはほぼ丸々任せることができます。

自分でやらないといけないことは、最初に既存のIDとパスワードをパスワードマネージャーに入力すること(これは結構面倒です)と、パスワードマネージャーにアクセスするための強力なマスターパスワードを考えて暗記することだけです。

というわけで、7payの事件を受けてあらためてパスワード管理の大切さを思い出した話でした。

リンク:7pay
リンク:7pay に関する重要なお知らせ(セブン&アイ・ホールディングス)


タイトルとURLをコピーしました