7pay以外は大丈夫か？主要Payログイン時の安全性まとめ - TechCrunch Japan

7月1日から始まったセブン&アイ・ホールディングスの独自コード決済である7payは、7月2日に不正アクセスが発覚し、900人が総額5500万円の被害にあったと同社は公表した。

同社は、リーダー機器の初期導入コスト、手数料／ライセンス料などのランニングコストがコード決済に比べて高価なNFC-F（FeliCa）を利用した電子マネーであるnanacoからの移行を目論んでいたと思われるが、今回の失態で戦略の練り直しを迫られるだろう。おそらくセブン-イレブンへの7pay導入のあとは、イトーヨーカドーやデニーズなどもロードマップに入っていたはずだ。

7Payは、独自の7iDというアカウントと、そのパスワードが盗まれると2段階認証もなくそのまま第三者がログインできてしまう脆弱なシステムだった。しかも、パスワード再設定時に別のメールアドレスが使えたので、7iDと登録した生年月日、電話番号が盗まれてしまうと、パスワードも自由に再設定できた。

チャージ用には別のパスワード必要だが、そのパスワード設定のルールが、半角小文字の英数字もしくは数字を使った6〜16文字の文字列という簡単なものだった。大文字小文字の混在や英数字混在などのルールも設けなかったので、英単語や自分の名前の一部などを設定している場合はパスワードを破られやすい状態だった。7iDと同じパスワードにしている場合はなおさらだったのだ。同社では現在、7payの新規登録やチャージは停止しているが、クレジットカードを登録済みの利用者は、念のため情報を削除しておいたほうがいい。

7payに関連する各社の報道を受けて、QR／バーコード決済にネガティブなイメージを持ってしまった利用者も多いことだろう。そこで気になるのが、7pay以外のコード決済か安全なのかどうか？主要なコード決済のセキュリティ仕様を以下にまとめた。

なお、ここで紹介するのはあくまでもログイン時のセキュリティだ。チャージ用のクレジットカードそのものを盗まれた場合は、各アプリでは対処できない。盗まれた場合は、できるだけ早くクレジットカード会社に連絡してカードそのものを無効にしよう。

当たり前の話だが、財布と同様でコード決済のアプリが入っている端末やSIMが盗まれてしまうと手の施しようがなくなる。端末には必ず強固なパスコードを設定したうえで、盗まれないように気をつけたい。

PayPay

基本的に、利用者とは異なる電話番号を持つスマホからは決済できないため、IDやパスワードを盗まれてもそれほど深刻な問題にはならない。電話番号を変更する際は、PayPayアカウントが紐付いている電話番号から利用者が作業する必要がある。アカウントのパスワードを忘れた場合は、登録済みの電話番号もしくは電子メールに再設定用ページのURLが送られる。

PayPayはYahoo! IDのアカウントとパスワードでもログインできる。こちらもログイン後に、登録した電話番号にSMSで認証コードが送られてくる。

ちなみにPayPayは2018年12月に、登録するクレジットカードのセキュリティコードを無制限で入力できる脆弱性が露呈した。この脆弱性を突いた不正アクセスは13件確認されたが、その内の9回は本人によるものであることが判明。残りの4件についてものPayPayでの実被害はなかった。この後PayPayは、セキュリティコードの入力制限を設けたほか、クレジットカード会社が用意している3Dセキュア（本人認証サービス）と連携してセキュリティを大幅に強化している。

LINE Pay

LINEアカウントに紐付いているため、セキュリティはかなり強固だ。LINEでは、2016年2月に発生したトーク履歴流出事件のあと、利用者が面倒だと感じるほど強固なセキュリティ仕様に変更している。

アカウントを引き継ぐには、まずは既存アカウントと紐付いているスマートフォンなどから「アカウント引き継ぎ」のスライドボタンをオンにする。そして36時間以内に新端末に同じアカウントとパスワードを入力しなければならない。「アカウント引き継ぎ」のボタンをオンにせずに新端末に乗り換えた場合は、友だちリストやトーク履歴、利用サービスをすべて引き継げなくなる。

そもそも、LINEアカウントからログアウトする機能は備わっていないので、盗んだアカウント情報でログインする際も前述の移行作業が必要になる。Facebookアカウントでもログイン可能だが、その場合もやはり元の端末で移行設定しておかないと作業を進められない。元の端末でアカウントを削除すれば盗んだアカウントとパスワードで引き継ぎは可能だが、削除時にアカウントに紐付いているすべてのサービスが解除されるので、LINE Pay残高だけを盗み取ることはできない。

d払い

MVNOではないドコモ回線を使っている場合は電話番号と紐付けられているので、異なる電話番号からアカウントを乗っ取るのは難しい。d払いはMVNOやドコモ以外の他キャリアの回線でも使えるが、ログインにはdアカウントに登録したメールアドレスとパスワードが必要だ。d払いアプリにdアカウントで初めてログインする場合は2段階認証が必要になり、登録済みのメールアドレスに認証コードが飛ぶ仕組みになっている。

しかし、別のスマートフォンやPCのウェブブラウザーを使い、盗まれたdアカウントのIDとパスワードでログインすることは可能だ。ここで登録メールアドレスなどを変更されてしまうと、アカウントを乗っ取られてしまう。これを防ぐには、2段階認証の強度を「弱」から「強」に変更しよう。これで、dアカウントサイトへのログインについても登録メールアドレスに送られた認証コードの入力が必要になる。

楽天ペイ

IDとメールアドレスでログインできる。初回のログイン時にSMSによる2段階認証が必要だが、SMSを送る先には任意の電話番号を選べる。つまり、IDとメールアドレスを盗まれてしまうとログイン自体はできる。

ただし、すでに登録してあるクレジットカードのセキュリティコードを入力する必要があり、間違って4回入力すると一時的にロックがかかる。一方で、新たにクレジットカードを登録する操作は可能だ。IDとパスワードを盗まれてしまうと会員情報などの閲覧や変更も可能なので、そもそものパスワードを強固にしておく必要があるだろう。

Origami Pay

メールアドレスとパスワード、もしくはFacebookアカウントとの連携で利用できる。別端末での初回ログイン時にメールアドレスとパスワードを入力すると2段階認証プロセスが走り、アカウントに登録している電話番号にSMS経由で認証コードが届く。

このコードをアプリに入力すると、さらに登録済みメールアドレスにも異なる認証コードが送られる。こちらを入力して初めてOrigami Payを利用可能になる。実質3段階認証なので、セキュリティはかなり高い。

au Pay

現状ではau回線を使っているユーザー以外では使えないので、それだけでセキュリティは高い。利用するには、auの電話番号と設定したパスワードが必要で、同じau回線でも異なる電話番号を入力してログインすることはできない。

FamiPay

登録した電話番号とパスワードでログインする仕様。電話番号が異なる別のスマホからも登録した電話番号とパスワードでログインできるが、結局は登録した電話番号に認証コードが飛ぶため、第三者がFamiPayを不正利用するのは難しい。なお、「ファミペイアプリ」から一度ログアウトした場合は、同じ端末からの再ログインであっても事前登録した電話番号に認証コードが送られる。