キャッシュレス化を急ぐあまり、最も重要な安全対策が後手に回っていたのではないか。

 コンビニ最大手セブン-イレブンが7月1日から始めたスマートフォン決済が不正利用され、4日までに利用者約900人の計約5500万円が盗み取られた。

 不正アクセスされた「7pay(セブンペイ)」は、スマホのアプリに表示されるバーコードを店が読み取り決済する。

 利用者は、アプリにクレジットカードやデビッドカードの情報を登録して入金(チャージ)し買い物をする仕組みだ。

 今回は、セブンペイのシステムに侵入した何者かが利用者のIDやパスワードを入手し、その利用者になりすましてカードから入金して、買い物に使っていた。

 典型的な不正アクセス事件である。最新のサービスなのに、なぜ許してしまったのか。運営会社の説明からは、いくつかの要因が浮かんで来る。

 一つは「2段階認証」を使っていなかったことだ。

 電子商取引のアプリでは、最初にスマホの電話番号を入力し、ショートメッセージに送られる番号を使い改めて登録する方式が一般的だが、セブンペイでは使われていなかった。

 また、不正アクセス事件が多い国外からの接続を遮断していなかった。個人情報を取り扱うのに、油断が過ぎたのではないか。

 疑問なのは、運営会社が原因を「調査中」として詳しい説明をしていないことだ。

 記者会見では「サービス開始前にセキュリティー調査を実施し、脆弱(ぜいじゃく)性は指摘されなかった」と強調したが、それならなぜ不正アクセスが起きたのか。

 同社は事件を受け、アプリへの入金や新規登録は一時停止したが、既に入金したアプリの利用は受け付けている。

 アプリ登録は150万件以上あり、悪用されなくても個人情報が盗み見られた可能性がある。対策が必要ではないか。

 不正取得したお金で買い物をしている人がいる可能性もある。サービスとシステム全体をいったん止めて、原因の調査と対策を講じ、情報公開に務めるべきだ。

 政府も推進するスマホ決済では昨年末にも、ソフトバンクの「ペイペイ」で不正があった。

 普及に前のめりで安全性が二の次、では困る。関係業界は一度立ち止まり、対策を練り直してほしい。