セブンペイは本当に「使いやすさのために安全を犠牲にした」のか。2段階認証は「簡単で安全」なのに……

QRコードを表示して、はてな?となっているイラスト スマホ・タブレット
スマホ・タブレットニュース

7月1日にサービス開始し、ちょうど一か月後に「サービス廃止を発表」した、セブン&iグループのQRコード決済「セブンペイ」。

スタートから3日間で、不正アクセスと3000万円を超える不正利用が発覚し、歴史に残る速さで「淘汰」され廃止されることとなりました。

当教室では、シニア世代の方や初心者の方にスマホの操作をご指導することも多いのですが、

不正アクセス発覚後、セブンペイ社が繰り返し強調する
「ユーザーの使いやすさを優先した結果、セキュリティが甘くなった」
という趣旨の主張には大変違和感を覚えました。

「シニア世代や初心者にとって、使いやすさとは何なのか」

という点を、しっかり考えておく必要があると思います。

スポンサーリンク

利便性(使いやすさ) のために、セキュリティ(安全性)を犠牲にしたという主張

セブンペイの、この世のものとは思えないセキュリティ無視

セブンペイで発覚した、セキュリティの脆弱性は次のような点でした。

  • 本人の生年月日とメールアドレスが分かれば、誰でもパスワードがリセットできた。
  • クレジットチャージ用の2つ目のパスワードも、本人でなくてもリセットできた。
  • ログイン時の本人確認として「2段階認証」が必須となっていなかった。
  • 「Googleでログイン」「LINEでログイン」の機構が、実際は「パスワードなしでログインできる機構」として設計されていた

ひとつひとつの脆弱性を解説しはじめればきりがありませんが、

  • この世のものとは思えない
  • セキュリティが甘いという言葉でも足りない
  • 「セキュリティをつけたふりをしただけ」

だと言ってよいでしょう。

「他社より簡単だと言われたいために、安全を無視しました」とはっきり言いなさい

開始3日で、セブンペイの不正チャージ・不正利用が明るみに出ると、セブンペイ社は次のような記者会見を開きました。

セブンペイ第一次記者会見 一問一答
7pay「サービス全面停止はしない」 会見一問一答 | 日本経済新聞

──パスワードを忘れてリセット手続きをする際、登録済みとは別のメールアドレスに手続きメールを送信できる仕様になっていた。第三者にアカウントを乗っ取られやすいように思えるが、なぜそのような仕様にしたのか。

清水執行役員 「お客様の利便性とセキュリティーのバランスは難しいところだ。今回は、7pay開始より前にキャリアメールでID登録をしていて、そのキャリアメールを今はもう使っていないケースを想定した。そうしたお客様の利便性のため、キャリアメール以外のアドレスでリセット手続きができるようにした。改善すべきところは今後改善する」

──他のコード決済サービスで一般的なショートメッセージサービス(SMS)認証(スマホにSMSを送信して本人確認する方法)を導入していなかったり、普段と異なる端末からログインした場合などに「身の覚えのないログインではないか」と注意喚起する仕組みがなかったりと、全体的にセキュリティーが甘い仕様になっていたように思える。

清水執行役員 「利便性とセキュリティーのバランスを考慮し、ユーザー体験を向上させることを念頭に設計したものだったが、きちんと調査して改善を図る」(※1)

※1 実際はこの発言の前に、「2段階認証??」とピンとこなくて後ろを振り返る有名なシーンがあります。

7pay「サービス全面停止はしない」 会見一問一答 | 日本経済新聞

何が「利便性をそこねる」と言っているのか。はっきりとまとめると、

  • ID登録した時のメールアドレスとは別のアドレスを使って、パスワードをリセットできないと不便だ。携帯会社のアドレスは、携帯会社を変えたら受信できなくなるから。
  • ログインする時に、わざわざショートメール(SMS)で送られる認証番号を確認しなければならないのは、不便だ。

と言っているのです。

免許証の代わりにスーパーのポイントカードで運転してもよい、というのと同じ

これを不便だ、と言ってしまえるということは、次のこととまったく同じなんです。

  • 車の運転をする時、免許証を忘れる人がいるかもしれない。運転できないと不便なので例えばスーパーのポイントカードを代わりに持っていれば運転していいことにした。
  • 急にお金が必要な時、たまたまキャッシュカードを持っていなかったら不便だ。生年月日と住所が言えればお金をおろせる仕組みにした。
  • リサイクルショップに買い取ってもらうとき、わざわざ身分証を確認すると不便なので、名前と住所を書けばいい仕組みにした。

免許証を持ち歩くのが不便だ、という人がいるでしょうか。
銀行にキャッシュカードを持っていくのが不便だ、暗証番号が不便だ、という人がいるでしょうか。

そんな人はいませんね。

セブンペイ社の「利便性とセキュリティのバランス」という発言が、いかに間違った危険な発言であるか、おわかりいただけると思います。

スポンサーリンク

SMSによる2段階認証は、手軽で安全。シニアでも初心者でも使っています

セブンペイの記者会見が、とにかくあまりにもひどい内容なので、読んでいる皆様のセキュリティ意識を下げてしまわないか心配なくらいです。

セブンペイのデタラメな記者会見のせいで、

「2段階認証は、使いづらいけど、やらなきゃだめなんだ」という、おかしな認識

が、こっそりと世の中に広められたような気がして、当教室としては大変残念に思っています。

SMSによる2段階認証は、こんなに利便性が高くて安全

スマホを手に笑顔のシニア夫婦のイラスト

SMSによる2段階認証は、初心者の方やシニアユーザーの方にも、大変手軽で、なおかつセキュリティを飛躍的に高めることができる、大変良い方法です。

SMSによる2段階認証は

  • スマホを販売店から持ち帰ったら、何の設定もしなくても確実に受信できる
  • 本人の携帯電話以外では受信できない
  • 送ってくるのは数字だけなので、入力が簡単
  • 不正ログインしようとした者がいたら、覚えのないSMSが届くのですぐに「おかしい」と気づける

といった点で、大変すぐれた本人確認方法です

セブンペイ、およびOmni7には、さまざまなセキュリティ脆弱性がありましたが、2段階認証だけでも実施されていれば、不正利用の全部、または大半は防げたと思われます。

2段階認証を使うために覚えることはこれだけ

2段階認証を使えるようにするには、例えば次のような操作スキルを覚える必要があります。

  • スマホの通知を表示する(画面上部から下にスワイプ)
  • 通知をタップしてSMS本文を表示
  • 本文にある数字4~6けたを記憶する
  • 画面を元の認証画面に切り替える(アプリ切り替えの操作)
  • 数字を入力する

初めてスマホにかえたばかり、という方には、少しばかり覚えなければならない操作がありますね。

しかしこれを、たとえば「セブンペイアプリをインストールする」操作と比較してみましょう。セブンペイアプリをインストールするには、

  • Playストア、またはApp Storeを開く
  • 「セブンイレブン」で検索
  • インストールの認証(パスワードまたは指紋認証)
  • アプリの起動
  • ID パスワードを設定

どうでしょう。

ここまでのインストール手順で一番ややこしいのは「インストールの認証」や「IDとパスワードの設定」ではないでしょうか。

これができた方には、2段階認証の操作は十分にできることです。

スポンサーリンク

セキュリティに関わる操作は「覚えていただく」ことも提供者の社会的責任

そのうえで、当教室の立場からあえて言っておきたいことは、

便利なインターネット・スマホを使うために必要なこと、
ログイン、2段階認証、パスワードの管理など
を、覚えていただくことも、サービス提供者の大切な社会的責任である

ということです。

当教室でのスマホレッスン風景
当教室でのスマホレッスン風景

教室では、毎日次のような操作を皆さんにご指導しています。

  • 使いたいサービスの画面を開く操作
  • ID・パスワードの正しい設定方法
  • 使いまわしでないパスワードの設定
  • 2段階認証の操作
  • 銀行などのアプリで身分証を送信する操作

1回では覚えられない操作も、何度もやっているうちに慣れてきます。2段階認証などは、数回教室でやれば、ご自身でできるようになります。

パスワードの設定と管理が一番やっかいな問題です。これについては、当ブログの関連記事を必ずお見せしています。そして、記事内でご提供しているExcelファイルを使ってランダムなパスワードを生成してお渡ししています。

悩みの種「パスワード」と上手につきあって、より安全なネット生活を。パソコン教室が教えるパスワード管理法 | キュリオステーション志木店のブログ

たとえ「難しいなあ」というお言葉をいただいた時でも、安全な利用のために必要だと判断した操作については、「なぜ大切なのか」をしっかりお伝えすることも含めて、丁寧にご指導しています。

セブンペイの「バランス」発言は、単なる社会的責任の放棄

このような日々のご指導をしている私たちから見れば、セブンペイの「利便性とセキュリティのバランス」なる発言は、単なる社会的責任の放棄にしか見えません。

だからこそ、あれだけ大量のセキュリティ脆弱性をもったアプリを、恥ずかしげもなく公開し、またサービス終了の発表においても、十分に問題点を明らかにしないまま「再チャレンジ」などという挑戦的な言葉を投げかけることができたのだと思います。

「7pay」会見まとめ:9月末でサービス終了、不正利用で3861万円の被害 | endgadget

スポンサーリンク

もっと簡単で、もっと安全な2段階認証が課題

セブンペイの惨憺たる現状は、いったん脇において、スマホ全体の今後のお話もしておきたいと思います。

今後のスマートフォン・インターネットの「利便性と安全性」という意味では、2段階認証を「もっと簡単に、もっと安全に」することは、チャレンジするべき課題だと思います。

SMSによる2段階認証は「日本では今のところ安全」

すでに、海外の事例では、SMSによる2段階認証が突破された事例もあり、将来をみすえた厳格な検討の中では、SMSによる2段階認証は絶対安全ではない、と言われています。

SMS認証の仕組みと危険性、「TOTP」とは? 「所有物認証」のハナシ (2/3) | ITMedia

家の鍵と同じような「ネット用の鍵」が普通になる日がくる?

最近の話題では、Googleが新しい「セキュリティキー」を発売しました。

Google謹製の物理セキュリティキー「Titan」が日本でも発売 | Gizmodo

Googleの新しい認証デバイス「Tutan Security Key」の写真
「Titan Security Key」(Googleサイトより)

これは、実際の「鍵」の形をした特殊な装置を持ち歩き、必要な時はこの「鍵」を使って認証する、というものです。

皆さん、家の鍵は必ず持っていますね。自転車の鍵も。車の鍵も。
それと同じところに、「ネット用の鍵」を一本、持ち歩く、というのが、未来の一番ありそうな姿かもしれません。

パソコン教室・キュリオステーション志木店からのお知らせ
レッスンはオンラインで受講できます

パソコン教室・キュリオステーション志木店では、本年よりオンラインでの在宅レッスンを実施しております。
教室の全コースがオンラインで受講可能。実際にインストラクターがご対応いたします。
1時間の無料体験レッスンはいつでも予約できます。詳しくは公式ページをご覧ください。

スポンサーリンク
キュリオステーション志木店運営をフォローする
志木駅前のパソコン教室・キュリオステーション志木店のブログ

コメント

タイトルとURLをコピーしました