7月1日からスタートしたセブン-イレブンのQRコード決済サービス「7pay」が炎上している。

ローンチ早々、大量の不正利用が発生し、被害額は5,500万円に上るとか。さらに、事件発生を受けて開かれた記者会見で小林強社長が「二段階認証」を知らなかったのではないか、ということでさらに叩かれている。

なんともまあ、お気の毒な話である。

QRコード決済の不正被害と言えば、PayPayの事件がまだ記憶に新しい。今回のケースと比較すると、使われた情報は異なるものの、手口そのものはある意味、共通している。

PayPayの事件では、クレジットカード登録の際に入力するセキュリティコードのチェック機能に問題があったと報道されている。カードの裏面に印字されている3桁の数字をアプリに入力するわけだが、何度間違えてもチャレンジできるような設定になっていた、として批判が集まった。

確かに、普通のシステムであればセキュリティコードが一定回数、間違って入力されると、カードの現物を持っていない人間のアクセスと見做し、登録停止などの措置が自動的にとられる。その意味で、PayPayのシステムが穴だらけだったことは事実なのだが、実はこれ、この時発生した不正の被害とは全く関係がない。

そもそも、アプリに入力されたセキュリティコードはPayPayのシステムを経由して、クレジットカード会社（イシュア）のシステムに送られるようになっている。イシュアのシステムはPayPayのようにガバガバ（失礼！）ではないので、間違ったコードが連続して送られてくれば、そのカード番号の登録を即座に停止してしまう（はず）。つまり、真っ当なイシュアのカードであれば、このような手法による不正被害など起きようがないのだ。

では、どうやって不正が行われたのか。

PayPayの場合は、セキュリティコードを含む盗難カード情報が使われたのだ。

犯人は、事前に何らかの方法で入手したクレジットカード情報（カード番号、有効期限、セキュリティコード）をPayPayに登録して買い物をしまくったのである。PayPayは家電量販店等の対面決済でも利用できたので、換金性の高い商品（ゲーム機やApple製品）を購入して転売したものと見られる。まさに、“濡れ手に粟の掴み取り”だ。

盗難カード情報はネット上のいわゆるブラックマーケットでも、大量に販売されている。ただ、現物のプラスチックカードではないので、普通はリアル店舗で使えず、ネットで不正利用される。その場合、購入した商品の配送先などで「工夫」をしないと簡単に足がついてしまう。

その点、PayPayはカード情報を使ってリアル店舗での買い物ができるので、先日のような事件が発生したのである。

さて、話を7payに戻そう（笑）。

7payはPayPayと違い、カード登録型のクレジット決済は提供しておらず、チャージによるプリペイドアカウント型のみ。そのプリペイドチャージ用に使えるカードも発行会社が限定されている。そのため、PayPayの時と同じ不正の手口はほぼ使えない。

代わりに犯人たちが行ったのは、不正に入手したログインIDとパスワードの利用である。

7payはもともと、セブン-イレブンの公式アプリである「セブン-イレブンアプリ」の中に組み込まれた決済サービスで、アカウントも既存のネット通販「オムニ7」のものを使えるのだが、これはユーザーが登録したIDと固定のパスワードのみでログインできてしまう。

ここからは推測も交えての話になるのだが、おそらく犯人たちは事前にセブン-イレブンとは無関係の別のサイトからユーザーのログインIDとパスワードのセットを不正に入手したのだと思われる（この手の情報漏洩は頻繁に発生している）。

別のサイト、とはいっても、ユーザーの中にはさまざまなWebサービスで同じID/パスワードの組み合わせを利用している人が少なからずいる。そのため、他で不正入手した大量のID/パスワードを使ってログインを試みれば、一定数はヒットしてしまう可能性が高い。

そうしてヒットした（ID/パスワードが合っていた）7payのアカウントを乗っ取り、登録されていたクレジットカードを使ってチャージ → 店頭で買い物 → さらにチャージ、という作業を繰り返したのだろう。

私も7payのサービス開始と同時に登録を行ったが、クレジットカードの登録には3Dセキュアのパスワードを要求されたし、以降はクレジットチャージのたびに、事前登録のパスワードを入力する仕様になっており、それなりにセキュリティに気を使っている感じは受けた。

ただ、残念ながらログイン認証がID+固定パスワードのみという最低レベルだったうえ、チャージ用のパスワードも固定のみだったため、そこを突かれたという訳だ。

記者会見でも指摘があった通り、SMSなどによる二段階認証を導入していれば、いきなりこれほど大量の被害が発生することはなかったかもしれない。その意味では、セブン-イレブン側の認識が甘かったということになるのだが、それよりも、ユーザーが他社サービスと共通のID/パスワードを使うケースを想定できなかったこと、そしてそのID/パスワードが漏洩している可能性があるのを想像できなかったことがこの事態を招いた。

これは、ユーザーを責めても仕方がない。QRコード決済だけでもこれほど多くのサービスが乱立する中、「他のWebサービスとは違うID/パスワードを設定しろ」と言われても、それは無理だろう（そもそも、そんなこと言っていないが）。

ID/パスワードをセブン-イレブン側が指定するという方法もあるが、それだとユーザーが覚えられない。となると、やはり2段階認証などの仕組みを入れておくべきだった、ということになる（もちろん2段階認証とて万能ではないが）。

いずれにしても今回、「7pay」という“大物”が出だしでいきなり躓いてしまったことで、キャッシュレスの機運に水が差されたことは間違いない。

だが、逆に考えればユーザーにID/パスワードに関するセキュリティの重要さ（脆弱性も含めて）を知ってもらう機会にもなった。また、他の決済事業者にとってはPayPayの事例に続いて、非常に“参考になる事件”だったはずである。

今後のキャッシュレス決済推進のためにも、今回の事件を他山の石として、消費者の信頼性確保に努めてもらいたい。