7Payの不正利用の原因は、別端末でログインされて利用されてしまったこと（ID・パスワードが漏れたことによるリスト型攻撃による）とのことで、他のPay系サービスがどうなっているか調べてみました。

(追記) パスワードリセットの仕様が元凶であるというという事実を知る前に検証した記事になります。

japanese.engadget.com

今回問題になっているのは、クレジットカードを予め登録した上で、チャージまたは都度決済を行うものだと思います。自分の利用状況下では 楽天Pay, d払い, Origami Pay がそれに当たりました。

このようなスマホ決済アプリにおける不正利用対策として、最低必要になるポイントは2つと考えます。

(1) 別端末でのログイン時にセキュアな認証をしているか（IDパスワードだけでなく、2段階認証などの追加の認証があるか）
(2) ログイン後、登録されているクレジットカードの再認証があるか（3Dセキュアやセキュリティコードの入力など）※クレカ登録型のみ

ログイン時のセキュアな認証と、さらに、登録されているクレジットカードを使うための認証を、それぞれ行う必要があります。

楽天Pay, d払い, Origami Pay, 7Pay を調べてみたところ、7Pay以外の3サービスは(1) (2)が実施されておりました。
（訂正：Origami Payは(2)がありませんでした。しかし(1)の二段階認証をSMS・メールともに行っており、そこで担保しているものと思われます。）

しかし、7Payでは(1) (2)いずれも問題がありました。

(1)：IDパスワード認証のみ
(2)：再認証なし

このため、ログインさえ突破できれば、登録されているカードで決済ができてしまうことになります。（決済時にパスコードなどの入力も必須ではないようです）*1
この穴を突かれて、不正利用されたものと思われます。（状況から組織的犯行ではないかという指摘もあるようです）

詳細はこちらの表にまとめています。

スマホ決済サービスは、一般的なWebサービスやECと同じセキュリティレベルの感覚で構築してはいけない、というのを改めて実感させられますね。

※あくまで個人環境下でのみの検証結果であり、すべてのケースを確認できているわけではありません。もし間違いなどあればご指摘ください😩