世間は7payのガバガバセキュリティ問題で盛り上がっていますね。
私もおにぎり1、2個にまんまとつられて7payに登録してしまった口ですので、他人事ではありません(幸い今のところ不正使用の被害には遭っていませんが)。
ログインアカウントとチャージパスワードが2重に突破されているのは事実
今回の7payの不正利用については原因の詳細はまだ判明していませんが、システム側に不正利用を招きやすい穴があったのは確かでしょう。
それはアプリログインで使用している7iDのパスワード変更フォームで、登録したのとは別のアドレスに変更手続きURLを送れる指定があったこと、そしてアカウントの登録時や変更時にSMSなどによる二段階認証が行われていなかったこと、などが指摘されています。
このためにアカウントが乗っ取りやすかったのは事実ですが、それでも今回被害が大きくなった要因であるクレジットカードによるチャージを行うには、さらにチャージパスワードが必要です。
不正利用でクレジットカードチャージが使われたということは、ログインのアカウント情報に加えてこのチャージパスワードも突破されたということです。
となりますと今回の不正利用は、上記のシステム的な脆弱性と、突破されやすいチャージパスワードという2重の要因が重なることによって招かれた事故と言えそうです(万一今後、チャージパスワードも流出していたなどという情報が出てくれば話は別ですが)。
ユーザー側でやっておくべきことは?
システム側の瑕疵については、もうサービス提供側でちゃんと対策してもらうしかありません(ユーザー側で選べるのは、サービスを使わないという究極の選択のみ)。
ここではサービスを使うという前提で、不正利用に極力遭わないようにするためにユーザー側でやっておくべき対策について考えてみます。
パスワードは強固なものにする
まず考えられるのは、パスワードを簡単には類推したり解析したりできない強固な(複雑な)ものにする、ということです。
いかにシステム的に守りを固めても、パスワードがを不正利用者側に知られてしまっては防ぎようがありません。
パスワードは使いまわさない
複数のサービスや用途で同じパスワードを使いまわしてしまうと、一か所の漏洩が連鎖的に被害範囲を広げていくことになります。
サービス間で同じID・パスワードを使いまわしていると、一か所で漏洩しただけで以降ずっとリスト攻撃型のアタックの危険性を抱えることになりますし、1つのサービス内の別の用途のパスワードを同じにしていると(今回の7payの例でいうと、ログイン用とチャージ用)、本来意図した安全性が保てません。
パスワードは必ず、全て異なるものを登録しましょう。
IDもできれば異なるものを使う
パスワードを使いまわさないのと同じ理由で、できればIDについてもサービス毎に異なるものを使うのが望ましいです。
登録するIDがメールアドレスの場合は毎回別のものを用意するのはやや難しくなりますが、例えばGmailであればアドレスの一部に任意の文字列を追加できるエイリアス機能があります。
このような機能を使って、IDはできるだけ毎回アレンジして使いましょう。
パスワード管理アプリを使う
ただし、ここまで書いてきたようなことをちゃんとやろうとすると、人間に記憶力だけでは到底対応できません。
メモなど紙で管理することも非常に煩雑になりますし、紙で残すとそれ自体が脆弱性になりかねません。
したがってID・パスワードをちゃんと管理するには、現状ではやはりパスワード管理アプリを利用するのが妥当と考えます。
例えば1Passwordなどのメジャーなパスワード管理アプリはセキュリティ的にもユーザビリティ的にもよく考えられていて、一度使い始めると手放せない存在になります。
PCとスマホやタブレットなど複数のデバイスを使う人にとっては、デバイス間でID・パスワードを共有する手段としても有効ですので、まだ利用していない方はこれを機会に導入してみてはいかがでしょうか。
蛇足)
とりあえず7payに対する直接的な対策としては、クレジットカードの登録を一旦削除しておきました。