モバイル決済は中国の「新4大発明」の一つとされているが、お隣の日本でもこの決済方法が流行しようとしている。日本の有名コンビニ「セブン-イレブン」が今月1日、スマホ決済サービス「7pay」を開始したが、わずか数日で重大な不正利用が発覚し、ユーザーの被害額が5500万円にのぼった。サービスは直ちに停止された。日本経済新聞は「今回の不正利用により消費者は次から次へとリリースされるスマホ決済サービスへの不信感を募らせる可能性がある。これは2025年までにキャッシュレス決済率40%という目標の達成の妨げになる」と伝えた。
4日で900人が被害
中国では微信支付と支付宝というスマホ決済の「2強」構造が形成されているが、サービスが始まったばかりの日本では多くのアプリが競争に加わっている。
日本の2大コンビニであるセブン-イレブンとファミリーマートが今月1日、各自のスマホ決済サービス「7pay」と「FamiPay」を開始した。ところがサービス開始からわずか数日で、7payのユーザーのIDに不正アクセスがあった。セブン&アイホールディングスは4日、不正利用の被害者は約900人、損害額は約5500万円にのぼるとみられると発表した。
東京警視庁新宿署が6日発表した情報によると、今月3日に詐欺未遂容疑で逮捕された容疑者(22)は次のように供述している。別の人物からの指示を受け、同日3店舗以上で7、8人のIDを利用し、たばこカートリッジを大量購入した(総額100万円以上)。日本の警察当局は、7payの安全問題を利用しIDを乗っ取り不正利用する大きな犯罪ネットワークが構築されていると発表した。
瞬時にして信頼を失う
不正利用がハイテクを駆使するハッカーの行為であったならば、日本の世論は落ち着いた反応を示していただろう。ところが日本メディアによると、7payの安全性には重大な問題があるという。
日本メディアの調査によると、7payはメールアドレスでIDを作るが、生年月日があればパスワードを変更できる。しかし生年月日が未入力だった場合は「2019年1月1日」で設定される。パスワード変更の際には記入ミスによる回数制限がなく、また変更後のパスワードは別のメールアドレスで受信できる。つまり7payのIDを作る時に生年月日を入力していなかった場合、ほぼすべての人がパスワードを変更される恐れがある。
大半の決済アプリはショートメールで二段階認証を行う。ところが7payの小林強社長は記者からの質問に対して「二段階認証?」と逆に質問した。
日本企業(中国)研究院の陳言執行院長は7日、環球時報のインタビューに応じた際に「7payの安全性と機密性の不備が不正利用の重要原因だ。不正利用後、企業の取締役は基本的な専門知識を把握せず記者会見を開き、質問に回答した。これにより電子決済の利用者から瞬時にして信頼を失った。本件は日本人消費者の電子決済受け入れに大きな悪影響を及ぼした」と述べた。
日本の経済産業省は5日、セブン-イレブンに安全措置の強化を求めたと発表した。セブン&アイホールディングスも、二段階認証やチャージ額の上限の変更といった安全対策の緊急導入を発表した。