○○Pay(主に7Pay)をとりまく四方山話
うぃろぅです。
電子マネー、便利ですよね。
- 財布を持たずに買い物ができる
スマホを持ち歩かない人の方が財布を持ち歩かない人より現代日本であれば少ないはず。 - お金を触らずに済むので衛生的
スマホの画面が衛生的か、と訊かれるとそうではないですが、他人が触れやすいか否か、という点では差別化できそう。 - お釣りが出ない
小銭の管理、地味に重いし計算面倒だしで煩わしい。 - 待ち時間が減る
貴重なお昼休みをコンビニの行列に費やしたくはない。
といったことが挙げられると思います。
一方で
- 対応していない店舗では使えない
対応状況を調べるのも面倒なことがある。 - 支払い方法を発声する必要がある
声の出せない事情のある方はもちろん、人見知りをこじらせている方もあまり発声したくないはず。もしくは聞き取ってもらいにくいという要素も。(「iD」と「Edy」とか) - 見えないところで不正利用されるリスクがある
現金は「窃盗」という目に見える形の不安はありますが、充分注意していればそこまで遭遇する機会は多くないはず。
といったデメリットも挙げることができます。
さて、今日の本題。
7月の頭からはセブン-イレブンやファミリーマートといったコンビニで独自サービスの電子マネー決済が始まりました。
なるほど時代はどんどんキャッシュレスに向けて動いているんだな、と感じていたのも束の間。
このエントリーを書いている2019/7/4現在、セブン-イレブンで使える「7pay」が不正利用の報告多数で大変なことになっています。
で、今ホットなこの話題について、面白そうな話題をいくつか(いくつも?)見つけたので思ったことを書いていきます。
モバイル決済の環境から7payのことまで雑多に書いていくので話題につながりがなさそうな気配がします。あしからず。
以下目次。
世はモバイル決済時代
大手各社は独自モバイル決済の新規顧客獲得のため、しのぎを削っていた…。
ということでまずはモバイル決済を取り巻く環境から。
モバイル決済乱立のワケ
いくつか理由があると思われます。すぐに思いつくだけでも大きく分けて2つ。
消費税増税対策
2019年10月には消費税率が10%に引き上げられます。
計算が楽になるのは確かに(脳のワーキングメモリ的には)楽だけれど、少し前まで5%だった記憶が残っている身としては2倍は結構大きいです。
政府はキャッシュレス決済を推奨しており、クレジットカードやモバイル決済等のキャッシュレス決済であればポイント還元により実質8%程度になるよう軽減税率の整備を進めているとか。
ユーザーとしては「ポイント還元」というワンクッション置く形であれ、多少の導入 / 学習コストで税率が安くなるのであればキャッシュレス決済を試してみるかという気持ちになるというもの。
外国人旅行者の増大
外国からの旅行者、昨今だと中国人ですね。こちらが年々増大していっています。
詳細な資料は観光庁を参照してもらうとして、2020年にはオリンピックも控えているため今後も訪日旅行者数が増大することが予想できるわけです。
そうなったときに問題となってくるのは買い物時の決済方法。
よく話題になるのが五円玉。
漢数字しか使われていないため、何円なのかわからないケースがあるんですよね。
そうなってきたときに便利なのがモバイル決済。
モバイル決済先進国といっても過言ではない中国においては、「微信支付(WeChat Pay)」か「支付宝(Alipay)」があればほぼ何でも支払いができます。
「AlipayかWeChat Payで日本でも買い物できるよ」と宣伝すれば、使えないお店と比較して確実に中国人の購入機会が増えます。
日本における中国モバイル決済対応状況
上記の事情を受け、PayPayとLINE Payはそれぞれ中国の2大モバイル決済との連携対応を発表。海外旅行者の日本におけるモバイル決済対応は進行しつつあります。
日本におけるモバイル決済はこの2種類のどちらかでいいじゃない、話はここでおしまい!!
…とはならないのが日本という国なわけで。
2019年7月時点のモバイル決済いろいろ
こちらを読めば概ねわかりますが、とにかく数が多い。
クレジットカード等を用いた入金機能対応のICカード決済もモバイル決済として含めてしまうのであれば、支払いの手段は数十種類にも及びます。
クレカ決済じゃだめなの??
ダメというわけではもちろんありませんが、クレジットカードはモバイル決済と比較して決済手数料が高く(クレカは8~10%程度、モバイル決済は3~5%程度)、「クレカ決済は費用がかかるから」と現金会計に絞っている個人事業主も少なくありません。
モバイル決済は日本においては現在発展途中と言うこともあり、「決済手数料無料キャンペーン」なるものを実施していることもあります。
それであれば、とモバイル決済を導入するケースが増えつつあるようです。
コンビニ別対応状況
現代の若者がよく使うお店と言えばコンビ二です。
その時々のニーズに合わせて事業展開を行う必要があるコンビ二でもモバイル決済は導入されています。
上記サイトから引用させていただくのですが、こちらをご覧いただきたい。
下4段を見ましたね?
もはや何がなんだかですよ。斜めにならんでいて綺麗。いやそうではなく。
これなら「PayPay」か「LINE Pay」でいいやってなりますよね。
なぜ独自モバイル決済を導入するのかの考察
そもそも「PayPay」か「LINE Pay」だけ使っていれば問題なさそうなのになぜ各社独自のモバイル決済を開発するのでしょう?
私は経営層にはおらず、ざっと調べてもあまり有益な情報が得られなかったのですが、考えられる理由としていくつか挙げられます。
リピート客を増やすため?
「7Payだと今ポイントお得だからすぐ近くにファミマあるけど2分歩いてセブン行くか」というアクションを起こさせることができるとは考えられます。あれもこれも、使い分けるのはユーザーにとって負担が大きいですし。
手数料削減のため?
クレジットカードもそうなのですが、電子決済には手数料がつきものです。
PayPayは決済手数料0円を謳っていますが、保証されているのは3年間。3年経過後はどうなるかわかりません。
そうした場合に、自社開発の決済システムを使ってもらえれば損をすることがなくなると、そういう発想になるのも理解はできます。
コンビ二としては「フランチャイズ展開の看板使用料」と「モバイル決済手数料」が2重に課せられるようにもなる…のかもしれません。
キャンペーン等の表示、販売促進のため?
独自のモバイル決済を利用してもらうということは、独自のキャンペーンをスマホに表示させやすいということになります。
QRコードを読み取るにしろ、表示するにしろ、ユーザーはスマホの画面を見ることになるわけです。
その画面に(決済後にでも)「今これを買うと抽選で賞品が当たるよ!」だとか「この飲み物が安くなってるよ!」だとかの表示をすればユーザーはそこに意識が向きます。
そうした宣伝により、「そういえば今あれが安いって広告あったな」と購入機会が増大するのです。
7Payをとりまく環境
ここまでがなんとなくの前提知識です。長い。
流れをまとめてみましょう。
- 海外旅行者が増えた
- モバイル決済の需要が高まった
- Apple Payが日本でもできるようになった
ちなみにこれよりも前(2年程度前)からLINE Payは利用可能でした。 - PayPayが「100億円キャンペーン」で有名になった
- LINE Payも対抗してキャッシュバックキャンペーンを実施した
- ソフトバンク(PayPay)に対抗して、ドコモとauも電子マネー決済を宣伝し始めた
- 増税に対する軽減税率適応対象としてキャッシュレス決済が推奨された
- 共通ポイントの先駆けとなったTポイントが衰退し、各社独自のポイントサービスを始めるようになった
セブン-イレブンは「nanaco」を使って新規顧客獲得のためにいろいろなキャンペーンを打ち出している。Omni7と連携して適切なサジェストをし、さらに購入機会を増大させようという試み。 - Tポイント離れの煽りを受けファミリーマートも独自ポイントサービスを画策した
- ファミリーマート、「ファミペイ」を7月から開始することを発表
- セブン-イレブンも(ファミリーマートに対抗して?)「7Pay」を7月から開始することを発表
こんな感じかなと。
Tポイント云々の話はここでは初出ですが、少し前に話題になっていました。
ここで問題になってくるのが「後発なのに納期が短い」ということかなと。
再利用可能なコードがあるならまだしも、これまで手をつけていない分野の開発でこれは…厳しいですね。
Omni7の時も「プレスリリースしているから納期はずらせない」を体現したかのような詰め込み作業感がリリース時に話題になっていました。
まさか経験から学習していないのか…??
今回の事象
よくある(よくあっていいことではない)不正利用ですね。
7Payに紐付けられたクレジットカードから不正に入金され、7Pay利用可能サービスを通して不正に購入された。
PayPayのときにもこういった報告ありませんでしたか…?
まさか経験からだけではなく歴史からも学習していないのか…??
セブン-イレブンの発表内容や被害状況についてはこちらに詳しくまとめられています。
直接原因
何が起こっているかというと
- 7PayはOmni7のサインインに利用可能な「7iD」でサインインを行う
- 「7iD」のパスワード再設定サイトはOmni7側に配置されている
パスワード再設定サイトはこちら。 - 今は表示されなくなってるがパスワード再設定サイトの入力項目に「送付先メールアドレス」という項目が存在した
- 「送付先メールアドレス」欄に任意のメールアドレスを入力すると
- 「7iD」登録時のメールアドレス
- 「送付先メールアドレス」
の両方にパスワード変更用メールが送付される(!)ようになっていた
- iPhoneから登録した場合生年月日を未入力にすることが可能で、その場合は誕生日が「2019/1/1」に設定される(!?)
- パスワードを任意の文字列に変更すればアカウント乗っ取りが可能
ということです。
「7iD」はメールアドレスのため、メールアドレスさえわかればアカウントが乗っ取れる状況になっていたというわけですね。えぇ…。
ちなみに今(2019/7/4 17:00ごろ)はどうなっているかというと
項目としては存在しているものの非表示となっています。
これはダメなのでは…?
恐らく送信時に「送付先メールアドレス」のvalue
が空白なのは許されていますが、key
が空白なのは許されていないのではないか…と推測できます。上記サイトをのぞけばわかりますがname="sendMailAddress"
ってところですね。うーん。
すり抜け原因
セブン-イレブンは「セキュリティチェックに問題はなかった」としています。
恐らくこのセキュリティチェックは「7payへの不正な操作(決済時の情報の抜き取りが考えられますね)」に対するチェックだったのかな、と。
今回は7Payに問題があったのではなく、7Payを使用するときに紐付ける「7iD」側に問題があったように見受けられます。
なのですり抜け原因としては「Omni7側のセキュリティ対策が万全ではなかった」ということでしょうか。
根本原因
そもそもの問題としては
- 短納期のため考慮が行き届かなかった
- Omni7の開発が不十分だった
なのではないでしょうか。
要件定義が不十分だったのか、開発者の技術力が足りていなかったのか…多分両方でしょうね。
もうちょっと突っ込んだ話もできなくはないですがオープンにしてはいけなさそうな話なのでオフラインででも訊いてください。
これから
一旦新規登録とチャージ機能を停止しているようですね。
信用を取り戻せるかは非常に厳しい話となりそうですがなるようにしかならないでしょう。
面白かったツイート
7Payで一番やべーって思ったの、パスワードリセットURLに拡張子があってしかも.doって・・・まさかのStruts1?
— Yasuo Nakanishi (@nakanishiyasuo) 2019年7月4日
拡張子が.do
なのはJavaのフレームワークであるApache Struts 1
の可能性が高いです。
https://struts.apache.org/struts1eol-announcement.htmlstruts.apache.org
Struts 1
は2008年に最終リリースがあり、現在はサポートされていません。
多分開発期間があまりにも短かったからどこか別のアプリで利用した機能を再利用したのではなかろうか…と推測できます。
ちなみにStruts 2
も存在していますが、脆弱性が見つかったためアップデートがなされています。2で発見されたってことは1には潜んだままなのではなかろうか。Struts1
とは無関係です。
struts1とstruts2は名前は同じですが中身は全くの別物です。 もともと違う名前で開発していたものを名前だけstrutsにしたのがstruts2です。 なんの関係もないです。 なのでstruts2の問題がstruts1で起きるということはありえません。 まあサポート切れのものを使っている時点でアウトですが。
コメントにてご指摘いただきました。なんにせよ2013年にサポートが切れているフレームワークを使うな、という話ではありますね。
2019/7/31 追記
[https://twitter.com/togetter_jp/status/1156184176896274433:embed#「7Payの不正利用を受け、7iDのパスワードを全員リセットに…→再設定するとクーポンや7Payの残高が消えたとの報告が相次ぐ」https://t.co/jhJJC2SMm0 が伸びてるみたい。私も読みに行かないと! 作成者:@Ma__anal]
てんやわんや。一回サービスとめた方が信用面で良いのでは…?もう地に落ちてる?そうねぇ…。
え、7iDまだ東京都女性2019/01/01生まれの設定引きずるつもりなの? pic.twitter.com/a7ps0xVxFH
— ☆★たいきょー★☆ (@taikyo_) 2019年7月30日
「アプリからの登録は少しでも簡単に」という方針なのでしょうか。そこは一番サボっちゃいけない場所だと思うのだけれど…。
2019/8/1 追記
サービス終了が発表されましたね。
やはり短納期でこの規模の電子決済サービスというのは無理があったんでしょうね。
これで電子決済関係ではファミリーマートと差がつく形になりました。
セブン-イレブンがトップに立ち続けているコンビ二業界の売り上げに何か変化は訪れるのでしょうか。
セブン-イレブンの明日はどっちだ。私はSuicaを使います。
間違っている情報を載せている恐れもあるため、ご指摘等あったらお知らせください。
ではまた。