7payで「覚えのない取り引き」増加 不正利用か?

7月1日からサービスがスタートしたセブンイレブンの7payで、一部のアカウントが第三者に不正アクセスされる被害が出ています。公式サイトでは、ログインID、パスワード、認証パスワードの管理について気をつけるように呼びかけています。

不正アクセスされるケースの一例としては、ログインID、パスワードが分かりやすいものになっている、クレジットカードまたはデビットカード登録時に設定する認証パスワードとログインID、パスワードが同一のものになっているの2つの例をあげています。

ツイッターでは、クレジットカードで合計18万円が不正チャージされて9万円を使われた、20万円を勝手にチャージされた、3万円を三回チャージされたのでクレジットカードの利用を停止したといった書き込みが相次いでいます。

PayPayでも昨年12月の第1弾キャンペーンの時はクレジットカードの登録に対するガードが弱かったため、過去に流出したクレジットカード番号を犯人が利用し紐付けて、不正に買い物などで利用した事件が発生しました。

今回は他人のクレジットカードが紐づけられたわけではなく、すでに紐づけられている自分のクレジットカードから、覚えのないチャージが行われて、最悪はそのチャージ金額が不正利用されているように見えます。

今ひとつ、不正利用がなぜ発生しているのか、7payが公表している注意点さえクリアできていれば大丈夫なのかが分からない状況です。

私自身は7payの利用は安心して利用することが出来るようになるまで待ちたいと置います。

【追記】

その後、クレジットカード、デビットカードでのチャージが中止される状況になっています。PayPay同様にセキュリティに対するガードが甘すぎたようです。ファミペイは登録時にSMSによる認証がありますが、7payにはこれもないとのこと、安全対策が施されるまでは登録は控えて様子を見たいと思います。

【2019/07/04追記】

日経新聞の報道によれば、7月4日午前6時時点で約900人、合計5500万円の被害があったとのことです。また、被害にあった顧客には全ての被害に対して補償を実施することを発表しています。

すでにクレジットカードやデビットカードでの入金は停止していますが、それに加えて、店舗のレジやATMでの現金チャージも含めた全てのチャージの停止とサービスへの新規登録も停止するとのことです。すでにチャージしてあるお金分は使えるようですが、実質的にはサービスの停止といっても過言ではない状況です。

パスワード再発行

本来はパスワードを忘れてしまった人のためにある、パスワードの再設定に脆弱性があったのではないかという指摘があります。第三者がユーザーの生年月日や電話番号、会員ID(メールアドレス)を知っていると、第三者のメールアドレスにもパスワードの再設定をするためのメールを送ることができるようになっていたそうです。

急遽、CSS(スタイルシート)で送付先のメールアドレスを表示しないように7payでは対策をしたようですが、これではすぐに破られるので対策になっていないという声もありました。

記者会見

また、7payの社長の記者会見がありました。2日に顧客から問い合わせがあったあと、不正検知システムも使って調査し、4日朝6時の段階で被害想定額が5500万に及ぶものと公表しました。さすがに不正検知システムは付いているのかと感心して聞いていると、調査は一万円以上をチャージしてセブンイレブンで一万円以上を使った買い物から想定したということで、なんら不正検知システムとは関係のない調査方法で愕然としました。

ネットでの書き込みを見ると、記者会見に応じた皆さんは二段階認証のことも知らなかったということですので、セキュリティに対するリテラシーが低いのではないかと疑われています。セキュリティに詳しい皆さんは事態の収束に向けて全力で対応していたがために、記者会見には出席できなかったのだと信じたいところです。

【2019/07/10追記】

開発経緯

どこまでが事実なのかは分かりませんが、開発経緯に関して報道する記事も現れ始めました。

【極秘入手】7pay開発の内部資料。「セキュリティー不備」は急な開発と“度重なる仕様変更”が一因か
Business Insider Japan編集部「7pay」取材班は、7payの開発スケジュールを取りまとめた内部資料を入手した。開発現場の関係...

7月末ごろまでは7payを単独のアプリとする予定だったものが、急遽、セブンイレブンアプリの機能追加という形になった、その際に開発する会社が変更になった、テストの開始は1ヶ月ほど遅れた、7月1日のサービス開始は死守すべき状況だったといった情報がありました。

この記事が気に入ったら、
いいねをお願いします!
日記・ショッピング
このブログをフォローする
臨機応変?

コメント