モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題。これ、ネットで記事を見ると、運営元のセブン・ペイのセキュリティ管理の甘さを指摘するものと、ユーザーのセキュリティ意識を問うものとがあることが分かる。そして、ここにこそ、モバイル決済サービスのジレンマがある。
誰が原因か
今回の事件は、顧客がIDとパスワードの使い回しをしなければ、起きなかった事象のようだ。ようだというのは、運営元が原因について発表していないから。
ゼロトラスト
使い回ししなければ起きなかった…と言うのは、現在のサイバーセキュリティ管理ではダメな話で、何も信じてはいけないというスタンスで管理を行うべきとされる。ただ、完全に賠償できるのであれば、そのリスクは取って良いと考えることもできる。例えば、流出した情報がそのサービス用のIDとパスワードのみで他の個人情報は漏れておらず、被害が金銭的被害のみであれば、その被害額を保障すれば良いと考えることはできなくもない。
結局、サービスとセキュリティの問題
パスワード失念時の手続きを厳格にしたりするのは、セキュリティ上は良いことだが、それだけ顧客の手間が煩雑になる。セキュリティと利便性のバランスが大切である。そして、セブン・ペイは、利便性に傾けた開発をした。その結果がこの事件である。
社会的問題なのか
しかしこれは社会的な問題なのかは、よく考えるべきと思う。セブン・ペイがリスクを取れる範囲の出来事であれば、ある意味それは営業上の損失だけとも言える。ネット決済等の乗っ取り被害は、別に珍しいことではなく日常的に起きていることである。今回問題になったのは、サービス開始直後に狙い撃ちされたことが大きい。被害の範囲と総額が分かった段階で評価すべきである。
運営元の管理の甘さを指摘する記事の例
「脆弱性は見つからなかった」と言ってしまっているが、さすがに、事故を起こした以上、緊急会見で言うには、これは言い過ぎではないか。
ユーザーのセキュリティ意識を問う例
記者は、被害男性に原因はユーザー側にあると言わせている。
被害額の報道
これを見る限りでは、被害額は限定的でありセブン・ペイとして許容できるリスクの範囲かもしれない。