7月1日からサービスがスタートしたセブンイレブンの7payで、一部のアカウントが第三者に不正アクセスされる被害が出ています。公式サイトでは、ログインID、パスワード、認証パスワードの管理について気をつけるように呼びかけています。
不正アクセスされるケースの一例としては、ログインID、パスワードが分かりやすいものになっている、クレジットカードまたはデビットカード登録時に設定する認証パスワードとログインID、パスワードが同一のものになっているの2つの例をあげています。
ツイッターでは、クレジットカードで合計18万円が不正チャージされて9万円を使われた、20万円を勝手にチャージされた、3万円を三回チャージされたのでクレジットカードの利用を停止したといった書き込みが相次いでいます。
PayPayでも昨年12月の第1弾キャンペーンの時はクレジットカードの登録に対するガードが弱かったため、過去に流出したクレジットカード番号を犯人が利用し紐付けて、不正に買い物などで利用した事件が発生しました。
今回は他人のクレジットカードが紐づけられたわけではなく、すでに紐づけられている自分のクレジットカードから、覚えのないチャージが行われて、最悪はそのチャージ金額が不正利用されているように見えます。
今ひとつ、不正利用がなぜ発生しているのか、7payが公表している注意点さえクリアできていれば大丈夫なのかが分からない状況です。
私自身は7payの利用は安心して利用することが出来るようになるまで待ちたいと置います。
【追記】
その後、クレジットカード、デビットカードでのチャージが中止される状況になっています。PayPay同様にセキュリティに対するガードが甘すぎたようです。ファミペイは登録時にSMSによる認証がありますが、7payにはこれもないとのこと、安全対策が施されるまでは登録は控えて様子を見たいと思います。
【2019/07/04追記】
日経新聞の報道によれば、7月4日午前6時時点で約900人、合計5500万円の被害があったとのことです。また、被害にあった顧客には全ての被害に対して補償を実施することを発表しています。
すでにクレジットカードやデビットカードでの入金は停止していますが、それに加えて、店舗のレジやATMでの現金チャージも含めた全てのチャージの停止とサービスへの新規登録も停止するとのことです。すでにチャージしてあるお金分は使えるようですが、実質的にはサービスの停止といっても過言ではない状況です。
パスワード再発行
本来はパスワードを忘れてしまった人のためにある、パスワードの再設定に脆弱性があったのではないかという指摘があります。第三者がユーザーの生年月日や電話番号、会員ID(メールアドレス)を知っていると、第三者のメールアドレスにもパスワードの再設定をするためのメールを送ることができるようになっていたそうです。
急遽、CSS(スタイルシート)で送付先のメールアドレスを表示しないように7payでは対策をしたようですが、これではすぐに破られるので対策になっていないという声もありました。
記者会見
また、7payの社長の記者会見がありました。2日に顧客から問い合わせがあったあと、不正検知システムも使って調査し、4日朝6時の段階で被害想定額が5500万に及ぶものと公表しました。さすがに不正検知システムは付いているのかと感心して聞いていると、調査は一万円以上をチャージしてセブンイレブンで一万円以上を使った買い物から想定したということで、なんら不正検知システムとは関係のない調査方法で愕然としました。
ネットでの書き込みを見ると、記者会見に応じた皆さんは二段階認証のことも知らなかったということですので、セキュリティに対するリテラシーが低いのではないかと疑われています。セキュリティに詳しい皆さんは事態の収束に向けて全力で対応していたがために、記者会見には出席できなかったのだと信じたいところです。
【2019/07/10追記】
開発経緯
どこまでが事実なのかは分かりませんが、開発経緯に関して報道する記事も現れ始めました。
7月末ごろまでは7payを単独のアプリとする予定だったものが、急遽、セブンイレブンアプリの機能追加という形になった、その際に開発する会社が変更になった、テストの開始は1ヶ月ほど遅れた、7月1日のサービス開始は死守すべき状況だったといった情報がありました。
【2019/07/31追記】
7月30日にセブン&アイホールディングスは7iDのパスワードリセットを実施しました。会員約1650万人全員分が対象になります。ただ、ネット上ではパスワードの再設定をしてログインをしたところ、残高やクーポン、チャージ履歴なども合わせてなぜかリセットされているという声も上がっているため、少し心配な状況です。
→セブン&アイホールディングスの説明ではシステムの不具合ではなく、会員が誤って新規登録したり、これまで使っていたIDとは別のIDでログインしたりした可能性が高く個別の事象ごとに対応しているとしています。
7ID解約
怖かったので、パスワードを再設定してログイン後にマイページから解約手続きを実施しました。解約の理由は正直に、「セキュリティが心配だから」と書いておきました。また、安心してサービスが利用できるような状況になったら、新たに登録をしなおそうと思います。
【2019/08/01追記】
セブン&アイホールディングスは7Payを9月末をもって廃止する方針を固めたという報道がありました。オムニ7までもを巻き込んで悪いイメージが定着してしまったので、このまま7Payのサービスを継続することは難しいと判断したのかもしれません。報道によれば公式発表が別途行われるようです。
【追記】
7pay終了
記者会見が実施されて正式に9月末で7payは終了することになりました。わずか3ヶ月間しか存在しなかった電子マネーというのは初めてなのではないでしょうか。同時にサービスを開始したファミペイは順調に加入者を伸ばしているのに対して対照的な結末になりました。
正直、溢れかえったバーコード決済がこれ以上増えることがなくてホッとしているところもあります。セブンイレブンの加盟店側はポスターを貼り変えたり、消費者からの問い合わせに対応したり、余計な仕事が増えて大変だという記事が日経に出ていました。今まで快調に飛ばしてきたセブンイレブンですが、24時間影響に対する対応のまずさをはじめとして、そろそろ岐路に差し掛かっているのかもしれません。
【2019/08/19追記】
読売新聞の記事によると、不正利用額は約3860万円となったようです。
経営層の課題
専門家は今回の騒動に関して、経営陣にITに精通する役員を置いていなかったことに注目して、経営陣のネットサービスにおける安全対策に対する認識の甘さがあったと指摘しています。
【2019/09/30追記】
9月27日に残高の払い戻し方法が発表されました。公式サイトで10月1日から2020年1月10日まで返金の受付をするということです。利用者が名前やメールアドレスなどを入力すると残高を確認し、指定の銀行に振り込んだり、郵便局で現金を渡したりする形になります。
【2020/01/09追記】
資金決済法に基づく払戻し期限の1月10日までに払戻し手続きのない利用者が約25万人にのぼることを明らかにしました。これら未利用の残高は合計で約7000万円になるようです。割り算をすると一人当たり280円ということになるので、もう払い戻しの手続きをすること自体が面倒くさいという気持ちになっている人も多いのかもしれません。
期限後も確認ができれば払戻しに応じるとのことです。逆に払戻しを行なったのは約12万人、総額1億2000万円となります。
【2020/09/12追記】
今度はドコモ口座
今度はNTTドコモが提供しているドコモ口座というサービスで不正利用が発生しました。メールアドレスだけでドコモ口座は開設できてしまい、本人確認が疎かであったため、銀行の口座番号やパスワードなどが何らかの原因でもれていると、その口座にドコモ口座が連携されてお金を引き出されてしまう事案が多発しました。現時点、全部で2000万円ほどの被害が発生しています。
このフロント部分の本人確認が甘いという話し、なんとなく7payのトラブルの時と似ていると感じました。バーコード決済サービスに限らず、今一度、各金融系サービスのセキュリティ担保状況をチェックするとともに、業界の統一基準を作成するべきだと思いました。
コメント