タグ: 7pay

本日から消費税が10%となった。8%の消費税とともにひっそりとその役目を終えたのが、セブン&アイ・ホールディングスが7月に鳴り物入りで導入した7payだ。

9月30日までは残高を使用できたが、7pay残高をきれいさっぱり使い切るには、税込みで残高と同じ金額の商品を組み合わせるか、7pay残高だけでは不足する差額を現金で充当する必要があった。現金の代わりに交通系ICカードなどは使えず、困惑した利用者もいたのではないか。さらに残高を使い切れなかった利用者もいるはずだ。

残高を使い切れなかった人は、払い戻しの手続きを済ませれば指定の金融機関の口座に振り込まれるので安心してほしい。ただ、新たなパスワード設定や各種認証、住所や氏名、電話番号、銀行口座などの個人情報の入力などそこそこの手間を強いられ、私は残高を残してしまったことを少しだけ後悔した。早速のその手順を見ていこう。ここでは、「セブン-イレブン」のアプリ（iOS版／Android版）を使った方法を説明する。

1. 「セブン-イレブン」アプリを起動する。すでに7payは使えなくなっているが「7pay支払い/チャージ」のボタンをタップ。
2. 画面が切り替わるので「7payマネー残高の払い戻しはこちら」のリンクをクリックする。
3. 「払い戻し申出フォーム」の画面に切り替わるので「利用登録」をタップ。
4. 注意事項をしっかり読んで次に進む。
5. 「払い戻し申出フォーム」の利用登録のため、7iDに登録しているメールアドレス、携帯電話番号、払い戻し申出フォーム用のパスワードを入力する。
6. 「私はロボットではありません」をチェックして、画像認証を済ませる。
7. 払い戻し申出フォーム利用登録情報確認の画面に切り替わるので、内容を確認して「送信」ボタンをタップ。
8. メール認証の画面に切り替わる。7iDに登録しているアドレスに「メール用確認番号」が送られているので、その番号を入力する。ユーザーIDは自動的に割り振られる。
9. メール認証を終えるとSMS認証の画面に切り替わる。さきほど登録した携帯電話の番号のSMSが送られてくるので、その認証番号を入力。
10. 払い戻し申出フォーム利用登録が完了する。払い戻しの申請するには「払い戻しのお申し出はこちら」のリンクをクリックする。ここで作業を止めた場合は、後日2の画面から払い戻しの申請を再開できる。
11. 払い戻し申出フォーム利用登録の際に付与されたユーザーIDと登録したパスワードを入力する。ユーザーIDは7iDに登録したメールアドレスに送付されている。
12. SMS認証画面に切り替わるので、ユーザーIDと認証番号を入力する。認証番号はSMSで払い戻し申出フォーム利用登録の際に入力した携帯電話番号に送られてくる。
13. 「払戻し申出情報入力」の画面に切り替わるので、7iDに登録しているメールアドレス、nanacoを所持しているかどうか、所持している場合はnanacoの番号を入力。下にスクロールして住所、氏名、住所。さらに下にスクロールして、払い戻し方法、振込先銀行名や支店名、口座種別、口座番号、口座名義を入力する。
14. 登録が完了すると「払戻し申出情報確認」の画面に切り替わるので、登録内容を確認後、登録する。
15. 「払戻し受付完了」の画面に切り替わる。具体的な振り込み日時は7iDに登録したメールに通知がくる。
16. 7payからメールを送られてくる。払い戻しまでの期間は、上記のようにセブン‐イレブンアプリにログインして申し出た場合は、2019年11月中旬より順次。払い戻し特設サイトから直接払い戻し申出フォームにアクセスして申し出た場合は、2020年1月下旬以降順次となる。払い戻し特設サイトでの申請した場合に払い戻しが遅れるのは、7payの利用者様本人である確認作業に時間を要するためとのこと。

なお、すでに「セブン-イレブン」アプリを削除してしまったという場合や、7iDのパスワードがわからない場合は、ウェブブラウザーから「7pay払戻し特設サイト」にアクセスして手続きを進められるが苦行が少し増える。

払い戻しを申請したあとの進捗状況も7pay払戻し特設サイトからチェックできるが、こちらも、画像認証やSMS認証がはいるので6ステップほどかかる。

7payの案内では、払い戻し額が確定したあとにさらに4ステップかかるとの説明がある。

心が折れないように余裕のあるときに作業したいところだ。

7月1日から始まったセブン&アイ・ホールディングスの独自コード決済である7payは、7月2日に不正アクセスが発覚し、900人が総額5500万円の被害にあったと同社は公表した。

同社は、リーダー機器の初期導入コスト、手数料／ライセンス料などのランニングコストがコード決済に比べて高価なNFC-F（FeliCa）を利用した電子マネーであるnanacoからの移行を目論んでいたと思われるが、今回の失態で戦略の練り直しを迫られるだろう。おそらくセブン-イレブンへの7pay導入のあとは、イトーヨーカドーやデニーズなどもロードマップに入っていたはずだ。

7Payは、独自の7iDというアカウントと、そのパスワードが盗まれると2段階認証もなくそのまま第三者がログインできてしまう脆弱なシステムだった。しかも、パスワード再設定時に別のメールアドレスが使えたので、7iDと登録した生年月日、電話番号が盗まれてしまうと、パスワードも自由に再設定できた。

チャージ用には別のパスワード必要だが、そのパスワード設定のルールが、半角小文字の英数字もしくは数字を使った6〜16文字の文字列という簡単なものだった。大文字小文字の混在や英数字混在などのルールも設けなかったので、英単語や自分の名前の一部などを設定している場合はパスワードを破られやすい状態だった。7iDと同じパスワードにしている場合はなおさらだったのだ。同社では現在、7payの新規登録やチャージは停止しているが、クレジットカードを登録済みの利用者は、念のため情報を削除しておいたほうがいい。

7payに関連する各社の報道を受けて、QR／バーコード決済にネガティブなイメージを持ってしまった利用者も多いことだろう。そこで気になるのが、7pay以外のコード決済か安全なのかどうか？主要なコード決済のセキュリティ仕様を以下にまとめた。なお、ここで紹介するのはあくまでもログイン時のセキュリティだ。チャージ用のクレジットカードそのものを盗まれた場合は、各アプリでは対処できない。盗まれた場合は、できるだけ早くクレジットカード会社に連絡してカードそのもの無効にしよう。

PayPay

基本的に、利用者とは異なる電話番号を持つスマホからは決済できないため、IDやパスワードを盗まれてもそれほど深刻な問題にはならない。電話番号を変更する際は、PayPayアカウントが紐付いている電話番号から利用者が作業する必要がある。アカウントのパスワードを忘れた場合は、登録済みの電話番号もしくは電子メールに再設定用ページのURLが送られる。

PayPayはYahoo! IDのアカウントとパスワードでもログインできるが、こちらはログイン後に登録した電話番号にSMSで認証コードが送られてくる。

ちなみにPayPayは、2018年12月に登録するクレジットカードのセキュリティコードを無制限で入力できる脆弱性が露呈した。この脆弱性を突いた不正アクセスは13件回確認されたが、その内の9回は該当者本人によるものであることが判明。残りの4件についてものPayPayでの実被害はなかった。この後、セキュリティコードの入力制限を設けたほか、クレジットカード会社が用意している3Dセキュア（本人認証サービス）との連携を取り入れて、セキュリティを強化している。

LINE Pay

LINEアカウントを紐付いているための、セキュリティはかなり強固だ。LINEでは、2016年に発生したトーク履歴流出事件のあと、利用者が面倒だと感じるほど強固なセキュリティ仕様に変更している。アカウントを引き継ぐには、まずは既存アカウントと紐付いているスマートフォンなどから「アカウント引き継ぎ」のスライドボタンをオンにする。そして36時間以内に新端末に同じアカウントとパスワードを入力しなければならない。「アカウント引き継ぎ」のボタンをオンにせずに新端末に乗り換えた場合は、友だちリストやトーク履歴、利用サービスをすべて引き継げなくなる。

そもそもLINEアカウントからログアウトする機能は備わっていないので、盗んだアカウント情報でログインする際も、前述の移行作業が必要になる。Facebookアカウントでもログイン可能だが、その場合もやはり元の端末で移行設定しておかないと作業を進められない。元の端末でアカウントを削除すれば引き継ぎ可能だが、削除時にアカウントに紐付いているすべてのサービスが解除されるので、LINE Pay残高だけを盗み取ることはできない。

d払い

MVNOではないドコモ回線を使っている場合は電話番号と紐付けられているので、異なる電話番号からアカウントを乗っ取るのは難しい。d払いはMVNOやドコモ以外の他キャリアの回線でも使えるが、ログインにはdアカウントに登録したメールアドレスとパスワードが必要だ。d払いアプリにdアカウントで初めてログインする場合は2段階認証が必要になり、登録済みのメールアドレスに認証コードが飛ぶ仕組みになっている。

しかし、別のスマートフォンやPCのウェブブラウザーで盗まれたdアカウントのIDとパスワードでログインすることは可能だ。ここで登録メールアドレスなどを変更されてしまうと、アカウントを乗っ取られてしまう。これを防ぐには、2段階認証の強度を「弱」から「強」に変更しよう。これで、dアカウントサイトへのログインについても登録メールアドレスに送られた認証コードの入力が必要になる。

楽天ペイ

IDとメールアドレスでログインできる。初回のログイン時にSMSによる2段階認証が必要だが、SMSを送る先には任意の電話番号を選べる。つまり、IDとメールアドレスを盗まれてしまうとログイン自体はできてしまう。

ただし、すでに登録してあるクレジットカードのセキュリティコードを入力する必要があり、間違って4回入力すると一時的にロックがかかる。一方で、新たにクレジットカードを登録する操作は可能だ。会員情報などの閲覧や変更も可能なので、そもそもの楽天IDのパスワードを強固にしておく必要があるだろう。

Origami Pay

メールアドレスとパスワード、もしくはFacebookアカウントとの連携で利用できる。別端末での初回ログイン時にメールアドレスとパスワードを入力すると2段階認証プロセスが走り、アカウントに登録している電話番号にSMSに認証コードが届く。

このコードをアプリに入力すると、さらに登録済みメールアドレスにも異なる認証コードが送られる。こちらを入力して初めてOrigami Payを利用可能になるので、セキュリティはかなり高い。

au Pay

現状では。au回線を使っているユーザー以外では使えないので、それだけでもセキュリティは高い。利用するには、auの電話番号と設定したパスワードが必要で、同じau回線であっても異なる電話番号を入力してもログインできない。

FamiPay

登録した電話番号とパスワードでログインする仕様。電話番号が異なる別のスマホからも登録した電話番号とパスワードでログインできるが、結局は登録した電話番号に認証コードが飛ぶため、第三者がFamiPayを不正するのは難しい。なお、「ファミペイアプリ」から一度ログアウトした場合は、同じ端末からの再ログインであっても事前登録した電話番号に認証コードが送られる。

電話番号を変更する場合は、新旧の電話番号FamiPayのパスワード、そして電話番号変更コードが必要だ。この電話番号変更コードはコールセンターに連絡しないと発行されない。

セブン-イレブンは6月30日夜。「セブン-イレブン」アプリをアップデートし、同社独自のコード決済「7pay」に対応した。7payが始まるのは7月1日からだが、会員登録すれば6月30日の時点でチャージなどが可能だ。

チャージ方法は、各種クレジットカード・デビッドカード、セブン銀行ATM、nanacoポイント、レジで現金が選べる。同日から始まるファミリーマートの「FamiPay」は、レジでの現金とファミマTカードの2種類しかチャージ方法が用意されておらず若干ハードルが高かったが、7payは先行する汎用コード決済サービスと同等以上の多彩なチャージ方法を用意している点はうれしいポイントだ。

チャージ先をクレジットカードにした場合の決済方法はPayPayとは異なる。7payでは金額を指定してクレジットカードから事前チャージする方式。PayPayでは、支払金額がクレジットカードから即時チャージされるて決済される方式で、事前チャージは不要だ。

セブン-イレブンアプリでは7pay対応に併せて、複数のクーポンを同時に利用できる機能も搭載した。クーポンの画面の各クーポンに用意されている「まとめて使う」ボタンをタップしたあと、右上の「まとめて使う」をタップすれば複数のクーポンのバーコードを一覧表示できる。ここから7payのバーコードを呼び出すことも可能で、複数クーポンの使用と7payの決済がスムーズに行えるようになっている。

コード決済方法はほかと同じで、セブン-イレブンのレジでバーコードを見せればいい。