リプとかコメとかで「ID/PASSを使い回すのが悪い」みたいな論調もありますが、ID/PASSを使いまわした程度でこのレベルの被害が出るのはやっぱりちょっと怖いわけです。
そりゃね、使い回さない、というのはリスク回避策としては重要ですよ。でもそれは使う側のリテラシーをもってやるものであって、公式が問題の対策として提示するようではいけませんな。
今回の話はスマホのアプリとアカウントが端末単位で認証されていない、というアプリ側の仕組みに起因している部分が大きいのではないか、と思います。僕自身は最近なんちゃらPayに仕事で関わることが多いのでファミペイ(職場のコンビニがファミマだからな)を入れようと試み、新規登録時のSMSが6時間遅れで10分期限で送られてきたときにその日の登録を諦めたのでまあ実際どうなってるかよくわからんのですが、少なくとも端末の個体識別なりをちゃんとして、別の端末からログインがあったらSMS認証を行う、という仕組みにしておけば今回のパターンの被害は一切起きてないわけじゃないですか。端的に言ってアプリがクソなんじゃないですか?(まさか、SMSの金ケチってないよね?)
まあ、クレカチャージは不正利用が利用者の負担にならないパターンも多いですが、このなんとかPay絡みの不正利用が続くと当然クレカ側もハイリスク手数料みたいなのを設定してきそうだし、まともなPayとまともじゃないPayが混じっている現状は業界としてはよろしくないんじゃないでしょうかねえ。規制とかしたほうが良いんじゃないですかね?少なくともこのレベルじゃ銀行口座直結はさせらんねーよ。