ITmedia NEWS > セキュリティ >
コラム
» 2019年07月11日 14時48分 公開

ITりてらしぃのすゝめ:7pay事件で得られた教訓 「お金」のサービスはどう使うべきか (1/2)

不正ログイン問題が起きたモバイル決済サービス「7pay」。この問題から利用者が学ぶべきことは何か。@ITでセキュリティ分野を担当してきた著者が解説する。

[宮田健,ITmedia]
不正ログイン問題が起きたモバイル決済「7pay」

 大手コンビニエンスストア「セブン‐イレブン」で使えるモバイル決済「7pay」で、サービス開始直後に不正利用が発覚するという事件が起きました。現時点では不正アクセスの実態やサイバー犯罪者の正体などは不明で、7月4日時点では被害者数約900人、合計約5500万円の被害と発表されています。

 現時点では事件の詳細は不明で、実際にどのようなサイバー攻撃が行われたのか、情報漏えいがあったのか、などは不透明なままです。とはいえ、現時点でも利用者側で学ぶべきポイントがたくさんあるインシデントだと感じています。そのポイントを筆者なりに解説していきたいと思います。

連載:ITりてらしぃのすゝめ

「身近な話題を例にITリテラシーを高めていこう」がコンセプト。さらっと読めて人に話せる、すぐに身につく。分かりやすさ重視で解説。小ネタも扱います。

(編集:ITmedia井上輝一)

「お金に絡むサービス」でパスワード使い回しは絶対にしない

 調査報告の第一報すらない状態のため、原因に対する具体的な対策は現状述べられません。そのため、まず利用者サイドが一般論として考えるべきことは、やはりパスワードの使い回しをやめることでしょう。

 今回の事件で「IDとパスワードがサービス側から漏えいしていた」かどうかは不明ですし、Twitter上では一定の強度を持つパスワードを利用していたにもかかわらず被害に遭ったという人もいます。

 この点に関して、少なくともお金に関係する(自分の銀行口座やクレジットカードから入金が可能な)サービスに関しては、普段パスワードを仕方なく使い回している人も他とは確実に違うパスワードを利用する必要があります。これだけは、なくしたくないモノの上位にあるはずのお金を守るために、今すぐやるべき作業です。

 現実に起きた事件を考えると、最低でもお金に関するサービスだけはパスワードの使い回しはせず、(サービスが対応しているのなら)二段階認証を必ず使うというのが、利用者ができる限りの防御策だと思います。今回の7pay緊急記者会見ではセブン・ペイ側の二段階認証に対しての認識に、ネット上で批判の声が多く挙がりました。

 裏を返すと、ネット上では「金融サービスで二段階認証は当たり前」というコンセンサスがとうとう生まれたといえるのかもしれません。サービス提供側も利用者側も、守るべきものを守るため、しっかり設定を行いましょう。

不審なログイン履歴ない? メールチェックも重要

 そしてもう一つ、今回の事件の教訓として、ユーザーはこれまで以上に「パスワードリセットの通知」をはじめとする、アカウント情報の通知に気を付けなくてはいけません。また、アカウント情報の中に「ログイン履歴」を見られる機能があれば、不審なログイン情報がないかを確認するのもいいでしょう。

Gmailの場合、右下に表示されている「アカウント アクティビティの詳細」からログイン履歴をチェックできる。万が一不正なアクセスがあった場合、全てのセッションから強制的にログアウトさせる必要がある

 現在メインで使っていないメールアドレスであっても、それが何か1つでもサービスのIDとして使っていたものならば、監視しておくことが必要です。

 余談ですが私の場合、私が確保している「ある程度シンプル」なGmailのアドレスを、自分のものと勘違いしている人が世界中にいる関係で、知らないサービスからの登録メールやパスワード変更メールが届きます。実に面倒な状況ですが、最近ではセキュリティ訓練の一環のように思えるようになりました。

 また、ここまで大きく報道されたことから、この事件をフックにした詐欺メールが横行する可能性もあります。万が一にも「事件の被害に遭われた方へ、下記URLをクリックしカード情報を入力すると、被害額の150%を返金します」といった言葉にだまされないようにしてください。

お金関連の新サービスはしばらく様子見せよ

 どのサービスも、「私たち、セキュリティには自信がありません」とは絶対にいいません。外部からはどのような対策を行っているのか、経営者や現場がセキュリティをどう考えているのかは分かりにくいのが現状です。そうなると、もはや利用者にできることは、慎重になるしかありません。

 目先の“還元”や“プレゼント”のようなキャンペーンは確かに魅力的です。しかし、お金に関係するサービスは、自身がそのサービスの安全性や利便性を判断できる程度の「冷却期間」を置くくらいしか、利用者レベルでの確実な対策案はないでしょう。

 キャッシュレス決済を利用したいなら、特にコンビニエンスストアなら多くの場合クレジットカードが利用できます。事前チャージも不要で、不正利用があればクレジットカード会社に電話すれば止められますし、会社側も不審な利用を常に監視しています。最近のICチップ搭載クレジットカードなら、店員に渡さず客側の端末操作だけで決済できるようにもなっています。

 安全性と利便性のバランスを考えるなら、コード決済はしばらく様子見しつつ、クレジットカードや非接触ICカードといった成熟した決済サービスをひとまず利用していくのが望ましいのではないでしょうか。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.