今月1日にサービスがスタートしたセブン-イレブンで利用できるスマホ決済サービス「7pay」(セブンペイ)
サービス開始からわずかな期間で「見に覚えのない利用があった」とTwitterなどで報告されていたが、きょうセブン&アイホールディングスなどが緊急記者会見を開催した。
セブンペイ、不正利用の経緯
発表によると“第三者がなんらかの方法で「7pay」利用者のアカウントにアクセスし、本人になりすまし、登録されたクレジットカードおよびデビットカードを通じて当該アカウントにチャージを行い、セブン-イレブン店舗において商品を購入する等”の被害があったとのこと。
サービス開始翌日の7月2日夜にユーザーから見に覚えのない取引があったとの問い合わせがあり、3日早朝に調査を実施して不正利用が確認された。
調査では中国など海外IPアドレスからのチャージ利用があったことが確認できたため、同日、10時30分ごろにアクセスを遮断。緊急ダイヤルを設置*し、7payのホームページでID・パスワード管理の注意喚起を掲載。その後、クレジット/デビットカードによるチャージ機能を停止している。
つながりにくくなっている緊急ダイヤルはスタッフを増員して対応しているとのこと。
被害規模と補償
不正アクセスによる被害は7月4日6時時点の試算ベース*で被害人数が約900人、被害額が約5,500万円。なお、7月3日時点でセブンペイの登録者は150万人強とのこと。
不正利用で購入された主な商品についてサンプル調査からたばこであると説明。高額であることや換金性の高さが要因とした。なお、Amazonギフトカードについても購入可能ではあるが、実際に不正利用されたかは明らかになっていない。
(少額決済が多い)コンビニということから1万円以上をチャージして、同じ日にほぼ同額を支払っているアカウントから試算
今後の対応についてはクレジット/デビットカードだけでなくすべてのチャージ機能を4日14時に一時停止し、今日または明日にも新規登録も停止する。すでにチャージした残高は引き続き利用可能だが、すべての機能を停止しない理由について現在は多額の不正利用が減っていることや利便性など総合的に判断して、としている。
サービスの再開についてはなるべく早い時期を目指すが、時期は未定とのこと。
また、被害に遭ったユーザーには“全ての被害に対して補償を行ってまいります。”としている。補償を受けるためのプロセスは検討中としたが、運営から被害者に連絡をいれ、補償を受けるためには被害届の提出が必要になるようだ。
原因は調査中。事前のセキュリティ審査で問題なしと判断
不正アクセスや不正利用の原因については調査中とした。
不正利用の原因のひとつとされていたメールアドレスと誕生日を入力することで、第三者が7iDのパスワードをリセット可能になっていたシステムについては必要項目をこれから見直すという。
2段階認証*を導入していない理由については以下のようにコメントした。
メールアドレス/ログインID、パスワードに加えて、ワンタイム方式の確認コードが必要になるセキュリティ性の高い認証方式
「セブンペイの基本設計というのはまず7iDというのがありまして、それを使ってセブン-イレブンアプリがあって、そのセブン-イレブンアプリのいち機能としてセブンペイというのが7月1日から入っておりますので、基本的に7iD、セブン-イレブンアプリとセブンペイとが連携した形で登録するという形になっておりますのでそういった意味で、2段階うんぬんというのと同じ土俵で比べられるのかそのへんは認識しておりません。」
なお、セブンペイのサービス開始前にはセキュリティ審査を実施したものの、脆弱性は指摘されなかったそうだ。ただし、パスワードリセットはセブンペイの機能ではなく、オムニ7なども関わる*既存の7iDに関するもので審査から漏れた可能性がありそうだ。
オムニ7のサイトやアプリ、セブン-イレブンアプリにおいても不正アクセスなどがないか確認したが、(特に海外のIPアドレスから)際立つものはなかったという
セブン&アイホールディングスなどは原因追求を徹底的に行い、抜本的な解決に向けて改善策を図っていくとしている。
コメントを残す