【7pay以外は大丈夫か?】主要Payログイン時の安全性まとめ

7月1日から始まったセブン&アイ・ホールディングスの独自コード決済である7payは、
7月2日に 不正アクセスが発覚し、900人が総額5500万円の被害にあったと同社は公表した。
同社は、リーダー機器の初期導入コスト、手数料/ライセンス料などのランニングコストがコード
決済に比べて高価なNFC-F(FeliCa)を利用した電子マネーである、nanacoからの移行を目論んで
いたと思われるが、今回の失態で戦略の練り直しを迫られるだろう。おそらくセブン-イレブンへの
7pay導入のあとは、イトーヨーカドーやデニーズなどもロードマップに入っていたはずだ。

7payは、独自の7iDというアカウントと、そのパスワードが盗まれると2段階認証もなくそのまま
第三者がログインできてしまう脆弱なシステムだった。しかも、パスワード再設定時に別のメール
アドレスが使えたので、7iDと登録した生年月日、電話番号が盗まれてしまうと、パスワードも自由に変更できた。

チャージ用には別のパスワード必要だが、そのパスワード設定のルールが、半角小文字の英字と
数字を使った6~16文字の文字列という簡単なものだった。大文字小文字の混在や英数字混在など
のルールも設けなかったので、英単語や自分の名前の一部などを設定している場合はパスワードを
破られやすい状態だった。7iDと同じパスワードにしている場合はなおさらだったのだ。

同社では現在、7payの新規登録やチャージは停止しているが、クレジットカードを登録済みの利用者は、
念のため情報を削除しておいたほうがいい。(中略)

PayPay
登録したスマホとは異なる電話番号を持つスマートフォンでログインする場合は、登録された
電話番号に認証が飛ぶ。つまり、スマホ本体を盗まれない限り、IDやパスワードを盗まれても
それほど深刻な問題にはならない。(中略)

LINE Pay
LINEアカウントに紐付いているため、セキュリティはかなり強固だ。LINEでは、2016年2月に
発生したトーク履歴流出事件のあと、利用者が面倒だと感じるほど強固なセキュリティ仕様に変更している。(中略)

d払い
MVNOではないドコモ回線を使っている場合は電話番号と紐付けられているので、異なる電話
番号からアカウントを乗っ取るのは難しい。(中略)

楽天ペイ
IDとパスワードでログインできる。初回のログイン時にSMSによる2段階認証が必要だが、SMSを
送る先には任意の電話番号を選べる。つまり、IDとメールアドレスを盗まれてしまうとログイン自体はできる。(中略)

Origami Pay……、au Pay……、FamiPay……メルペイ……

(以下略)

詳しくは↓↓↓↓
https://jp.techcrunch.com/2019/07/05/7pay-unauthorized-access/

nanacoで充分なのになんでわざわざバーコード決済なんてやろうとしたんだ😰😰😰

コメント