二段階認証をセットしていますか？

7payいきなりの不正事件

この事件が発生して明らかになってからメディアはこの事件一色になっていましたね。

マスコミは事業者を集中的に叩いています。そりゃ確かにあまりに酷すぎるしセブンpay代表によるインタビューでも「二段階認証」すら理解していなかったというIT音痴と言っても過言ではない状態の上に、感情のない淡々とした記者会見。まるで濡れ衣とでも言いたげな雰囲気には正直なところ腹が立ちました。

まあ、メディアが叩く通り、あまりにひどいのは事実であり、事業者としてのセキュリティ意識を疑わざるを得ない状況です。

そうなるとセブン＆アイの他のインターネットサービスのセキュリティも怪しいのではないかと疑いたくなりますねぇ。

昨今の企業活動からはITやクラウドは外せませんし、下手すると企業の生命線にちかところをいつの間にか握ることもあります。企業の経営層といえども、最低限のITセキュリティの知識は必要です。

利用者の意識

一方、利用者としてはどうなんでしょうか？

こういうケースで利用者がその意識を問われるような報道は見かけませんが、ことセキュリティに関して一番重要なのは、利用者の意識です。

例えば、便利なFreeWifiですが、実はとんでもなく危ない代物です。

旅路の部屋

フリーWifiをそのまま使うのはセキュリティ上自殺行為！VPNを使って自分を守ろう！

https://aichanworld.com/wd/2019/06/29/post-7577/

Free Wifiの危険性JGC修行やSFC修行を含め旅行をしていると、旅先のあちらこちらで無料のWifiを使うことができるようになってきましたね。それはそれで便利なのですが、重要な点を忘れてはいけません。FreeWifiは、通信内容がダダ漏れ、丸裸ということです。特に暗号化されていないとかWEPくらいだったら、その道のプロは簡単に中身を自由自在に覗くでしょう。平文で暗号化プロトコルも使わない平文メールなんかでビジネスメールをやりとしていたらアウトかも。そういう情報漏洩から身を守るためには、FreeWifiを使わないのが一番です...

なんでもそうですが、便利さの裏にはヤバさがあります。ヤバさというのは変な言葉ですがニュアンスとしてわかってもらえそうなので使ってみました。

FreeWifi同様にプリペイド型のスマホ決済を使うにはかなりの安全意識が必要です。

• チャージ限度額の高いプリペイドサービスには銀行口座やクレジットカードなどは連動させない。（Suicaのチャージ限度はたった2万円ですよ）
• チャージは現金のみとしクレジットカードや銀行口座は絶対紐付けない（面倒ですが、事業者を信頼できない現状ではやむを得ません、チャージ限度額がSuicaのように少額なものではオートチャージでもいいと思います）
• 現金チャージのできないスマホ決済は使わない。
• 現金チャージができないプリペイドであれば、クレジットカードでチャージ後クレジットカード情報を削除する（本当に削除されたかどうかは運営会社のみぞ知るですが…）。何もしないよりは良い。
• 二段階認証すら導入していない事業者のサービスは絶対利用してはいけない。いかにペイバックがあって得そうにみえても、万一のツケは自分に来る可能性がある。
• パスワードはそのサービス専用のものを割り当てて使い回しはしない。

最低でもこれくらいは考えるべきです。

えー！冗談でしょう！とか思うかもしれませんが、

です。FreeWifiで信頼できる有償サービスのVPNを使いなさいというのと同じです。

二段階認証

テレビでも散々出ているのでお分かりでしょうが、二段階認証とは、通常のユーザーIDとパスワードによる認証が通った後、スマホのSMSで送られたワンタイムパスワードやスマホのワンタイムパスワードアプリで生成されたワンタイムパスワードを入力して二段目の認証とするものです。

これなら安全じゃん！と思ってはいけません。

もちろんユーザーIDとパスワードの組み合わせなんて、何かの拍子に漏れてしまっていて闇の世界でリストになって売買されていると思えば間違いないです。

セキュリティの基本は、全てを危険な側に倒してリスクを評価すること、です。

このワンタイムパスワードは確かに強固かもしれませんが、スマホを盗まれたらどうなりますか？スマホのパスコードは破られると思っておいた方が良いです。

スマホには二段階あるいは多要素認証の要素となるパスワードジェネレーターやSMS受信可能な機能があります。それらが悪意を持つものの手に渡ったら、もう自宅の鍵を相手に渡したのと同じですね。ほとんどマスターキーに近いかもしれません。

二段階認証にしたら、その電話番号を（機種変などで）捨ててはいけません、ワンタイムパスワードのSMSが受けられなくなります。

MNOで機種変更の時であっても、バックアップ＆リカバリではワンタイムパスワード生成ソフトは使えなくなります。

機種変で電話番号を変えるのにワンタイムパスワード系の事前準備をしないでやっちゃうと全てのサービスが使えなくなり詰んでしまいます。iPhoneで故障してApple Storeのジーニアスバーでハード交換ってのも結構危ないので要注意（事前準備ができないケースもあるので）。

セキュリティの危ない事業者は滅びる！

7payをはじめとする各種スマホ決済は便利で急速に事業者が増加している状況で、中には危ない奴があってもおかしくはない状況で、数年後にまで生き残れる事業者はごくわずか、おそらく三社も残れば良い状況ではないかと思います。

それはともかくとして、セキュリティの甘い事業者のサービスは必ず滅びます。

これは間違いない。7payも親がでかいから今回くらいではヘコタレナイと思いますが、万一二度目の大規模不正利用があったら、もう事業廃止を余儀無くされると思います。

Paypayのクレジットカードセキュリティ番号の無限回数試行によるセキュリティ事故はまだ記憶に新しいというのに、全然活かせていませんね。Paypayですら二段階認証だったのに、まだ穴があったのにということです。

まとめ

便利なサービスを便利に使うにはそれなりのセキュリティ知識とセンスが必要です。

何より、危ないのでは？と疑うところから身を守ることが始まります。

まずは使っている全てのオンラインサービス（EvernoteやDropboxなどのクラウドサービスも含む）を可能なものは全て二段階認証を設定しましょう。