全2768文字
PR

 例えばセブン-イレブンアプリは1台の端末に複数の「7iD」でログインできない仕様になっている。7iDとはセブン&アイHD共通のユーザーIDである。

 実際に、ある7iDでセブン-イレブンアプリにログインした後、別の7iDを登録またはログインしようとするとエラーが表示される。セブン-イレブンアプリを削除して再インストールしても同様のエラーが表示される。

1台の端末に複数の7iDでログインしようとするとエラーが表示される
1台の端末に複数の7iDでログインしようとするとエラーが表示される
[画像のクリックで拡大表示]

 端末固有のIDをセブン-イレブンアプリが取得してサーバーに送信し、登録またはログインした7iDとひも付けて二重登録を検知しているとみられる。国際大学GLOCOMの楠正憲客員研究員は「クーポンの二重取得を防ぐための仕様ではないか」と推測する。

 一方で、セブン-イレブンアプリを複数の端末にインストールしても、同じ7iDでログインできる。その場合、直前までログインしていた端末のセブン-イレブンアプリはログアウト扱いとなる。複数の端末を使い分けたいユーザーに配慮し、かつ機種変更の手続きを容易にするための仕様とみられる。

 こうした仕様は、ストレスなく手軽に使える「販促アプリ」としてみれば合理的だ。だが「決済アプリ」の観点では、他人の端末からの「なりすましログイン」を防ぎにくい弱点となり得る。

攻撃を検知できても「対処」できない

 7pay機能を追加する当たり、仮にセブン-イレブンアプリの端末認証について、端末と7iDの対応を多対1ではなく、「1対1」に仕様変更していれば、端末認証とパスワード認証という「2要素」の認証を実現でき、攻撃を受けるリスクを減らせたはずだ。