2019年7月1日、コンビニ最大手のセブン&アイ・ホールディングスが開始した7Pay(セブンペイ)。
サービス開始早々に不正アクセスにより、16日に同社は被害を受けたことが確認できた利用者が1574人、被害金額は約3240万円だと明らかにしました。

26日時点でもチャージおよび新規登録の停止といった措置が継続中です。

事件の概要

不正アクセスの手口

サービス開始翌日の2日夜に顧客から「身に覚えのない取引があった」と報告があり、社内調査をしたところ、不正利用が発覚しました。不審な取引はほとんどが海外のIPアドレスからのものだったということです。

不正の手口に使われたのが、パスワード再設定の仕組みです。

よくあるパスワードを忘れたときの手続きで、IDや生年月日、電話番号などの個人情報さえわかれば第三者が自分のアドレスにパスワード変更リンクを送ることができました。問題になったのがこの時に本人であることを確認するステップがなかったことです。個人情報なんてわかりようがないと思われるかもしれませんが、実はネットなどで個人情報を晒してしまう人もいるのです。

ただ、その際にあらかじめ設定しておいたメールアドレスや携帯電話のSMSにしか変更リンクを送れないようにしておくといった、いわゆる2段階認証がなされていなかったのが犯行組織に付け入るすきを与えてしまうことになりました。

社長が会見するも回答はしどろもどろ

この事態を重く見たセブン・ペイの小林社長が4日午後に会見を開きました。

しかしこの会見では記者からセキュリティや具体的な被害について質問が飛びましたが、「現在精査中です」と歯切れの悪い回答でした。その後、上記の他社ですでに採用している「2段階認証」の仕組みを使わなかったのはなぜか?という質問には「2段階うんぬんと同じ土俵で比べられるか認識していない」とまるで2段階認証のことをしらなかったかのような回答というお粗末さ・・・

同日にサービスを開始した「ファミペイ」に遅れを取るまいと、セブンが顧客獲得に焦り、簡単に登録できるように2段階認証を省略したことが原因と思われます。

QRコード決済の未来は?

現在いろいろな「〇〇ペイ」が乱立しており、顧客獲得のためキャンペーン合戦が繰り広げられていますが、サービス各社は自社の都合でなく、顧客の安全を第一に考えてサービス展開してほしいと思います。今回はサービス直後の被害ということで、犯罪組織はセキュリティの不備を常に狙っていることが明らかになったのですから。

 

◆ つじんぬの見解

私個人としてはQRコード決済は導入コストを抑えられることでサービス展開がしやすい、顧客の利便性向上という点は賛同できるのですが、2次元のコードというのは単なる画像なので何らかの方法でコピーされたりしたら怖いなと思ってしまいます。なので私はQRコード決済には二の足を踏んでしまいますね。

何となくですがICチップの方が安心な気がするので今の所はEdyとかWAONなどの電子マネーを使用しています。

【8/1追記】7Pay終了へ!

セブン&アイ・ホールディングスが2019年8月1日に7Payのサービスを9月末で終了することを発表しました!
セブンペイをめぐっては7月30日に全アカウントのパスワードリセットが実施され、ユーザーの残高が消えたなど声があり、混乱が起こっていました。
これまでに判明した不正アクセスの被害は807人、総額3860万5335円となっており、被害額は全額保障されるということです。