懲りない7&i、無防備なイトーヨーカドーアプリは危険です、使うのはやめよう。

懲りない7&i、無防備なイトーヨーカドーアプリは危険です、使うのはやめよう。

セブン&アイは2019年7月1日から7payのサービスを開始したがセキュリティ対策が不十分で不正アクセスが相次ぎ、たった三ヶ月後の9月30日にサービス終了となりました。そのセブン&アイ傘下のイトーヨーカドーが提供しているイトーヨーカドーアプリというのがありますが、これがまた大変とんでもない作りでした。警告のために記事にしておきます。

イトーヨーカドーアプリ

概要

私が試用してみたのはAndroidバージョンですのでGoogle Playからインストールしました。

説明によれば以下のメリットがあるそうです。

・バーコードを提示してセブン&アイグループ共通マイルを貯めらる。
・アプリに配信されるクーポンをゲットして、おトクにお買い物ができる。
・よく行くお店を登録すると、チラシ情報などのオススメ情報が届く。
・アプリポイントを貯めて、「nanacoポイント」に交換できる。

セブン&アイグループ共通マイル? なにそれ?
はい、これです。

200円毎に1マイル溜まって、50マイル貯まると50ポイントに交換できる….そうです。

ではアプリポイントって?

筆者はnanacoに全く魅力を感じないです。

確かにイトーヨカドーはよく使いますが、セブンイレブンはあいにく使うことはほとんどないですし、セブン&アイでしか使えないnanacoとか個人的には全く魅力を感じません。

囲い込みもやりすぎると魅力を感じなくなる典型がセブン&アイのnanacoじゃないですかねぇ。

Android版をインストールしてみた

冒頭に書いたGoogle Playからイトーヨーカドーアプリをインストールしてみました。

起動してユーザーアカウントを設定します(オムニ7のIDを持っていればそれでOKのようです)

上のマスクした部分にIDに紐づくバーコードが表示されており、下のマスクした部分にはイトーヨーカドーのクーポンが表示されています。店舗などが特定できる可能性があるのでマスクしています。

画面左上の「≡」をタップするとメニューが出ます。「設定」をタップするとアプリ設定ができ、主には通知の設定、機種変更のための引継ぎIDが表示されます。

セブン&アイグループ共通マイルはセンター側管理ですが、アプリポイントは文字通りアプリ依存なので正しく機種変更しないと消えてなくなります。

アプリ引継ぎIDは機種変更をするために必須のものです。

イトーヨーカドーアプリを起動して一旦オムニIDでログインすれば、アプリ自身には指紋認証などのセキュリティ機能がないために、スマホさえ手にすれば誰でもこの画面に来れます。

もちろん、新しいスマホで引継ぎ登録を完了させるためにはオムニIDのアカウントが必要ですが….

イトーヨーカドーアプリ最大の問題点

前述の引継ぎID表示まで無セキュリティ認証でいけてしまうなんてのは可愛いほうです。

ではメニュー画面に戻ります。

下から二番目の7id会員情報をタップしましょう。

びっくり。

会員情報画面まで一切の認証なしで、このスマホさえ手にすれば到達できます。

くりかえしますが、この画面まではアプリをインストールして一旦オムニIDでログインしてしまえば、あとはアプリを終了して再度アプリを起動してもセキュリティ認証なしでこの画面まではこれてしまいます。

マスクしていますが、以下の情報が素っ裸で表示されています。

オムニIDに登録しているメールアドレス
7id
居住都道府県
生年月日
性別
二段階認証の電話番号末尾4桁

ここで問題なのは生年月日です。

生年月日は昨今、本人確認の重要な要素の一つです。
キャッシュカードの暗証番号ほどではないですが、やたら誰にでもオープンするものではありません。

ネットに拡散されるわけではないですが、イトーヨーカドーアプリがインストールされたスマホがロック解除状態であれば、だれでもこれらの情報を見ることができます。

アカウント関連情報にアクセスするには、通常は再認証を要求するのが常識だと思います。
セブン&アイはまだセキュリティの甘さに懲りていないと思います。

まあ、驚きますね、性懲りもなく….というか、セキュリティとか個人情報保護の意識が欠落しているとしか思えません。

これはロック解除されたスマホを手にしないと知ることができない情報ですが、一事が万事です。セキュリティに対しての基本的な考えの甘さを露呈シていると言えます。

7payのような大事にはならないと信じますが、油断大敵です。

自分の生年月日など無用に他人に知られるような事故にあいたくなければ、基本的にセキュリティ概念に欠落してると思われるセブン&アイのアプyリを使うべきではありません。使ってもいいですが、個人情報登録しないでチラシを見る程度にすべきです。

まとめ

セブン&アイのイトーヨーカドーアプリは、一旦ログオンすればユーザー情報までいかなるセキュリティ認証なしにたどり着ける。

7payで起こしたセキュリティの甘さをセブン&アイはまだ理解していないようだ。

自分の情報が大切なら、直ちにオムニIDは削除してセブン&アイ系アプリは全削除すべき。

モバイルカテゴリの最新記事