2019年7月1日(月)に開始された『セブンーイレブン』のモバイル決済サービス『7pay』、開始からわずか3日目にして早くも『不正利用』の報告が相次いでいるようです。

皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
ここ最近、『○○Pay』という『モバイル決済サービス』があちらこちらから登場してきていますが、そのモバイル決済サービスの1つである『7pay』においてアカウントが乗っ取られ、クレジットカードが『不正利用』されてしまう被害が出ています。
7payで不正利用が起きた理由
どうやら『7pay』には致命的な弱点があるようです。
『パスワードを忘れた場合』、生年月日、電話番号、メールアドレスがわかれば変更できてしまうようです。
しかも『二段階認証(二要素認証)』がない。
もう1つあります。
登録したメールアドレスとは別のメールアドレスに『パスワードリセットメール』を送信できてしまうようなのです。
つまり、『生年月日』と『電話番号』がわかればパスワードを変更できてしまうという仕様になっています。
ここまで読んで『???』の方は非常に危険な方です。
この仕様、あり得ない仕様になっています。
普通に考えると、登録したメールアドレス以外には『パスワードリセットメール』を送信できないですし、昨今においてクレジットカードなどの金銭が絡むものに『二段階認証(二要素認証)』が存在しないというのは『論外なシステム』と言わざるを得ないです。
『セブンーイレブン』ともあろう大手企業が何故これほどまでにお粗末なミステイクを犯してしまったのかは謎ですが、他の『モバイル決済サービス』を含め、このような脆弱なシステムであるならば利用しない方が良いとも言えます。