bubble bubble2 google-plus facebook facebook2 twitter instagram twitter2 cart

セブンペイ、不正アクセスで新規受付/全チャージ機能停止。被害額は5,500万円、すべて補償へ

キャッシュレス

セブンペイ、不正アクセスで新規受付/全チャージ機能停止。被害額は5,500万円、すべて補償へ

今月1日にサービスがスタートしたセブン-イレブンで利用できるスマホ決済サービス「7pay」(セブンペイ)

サービス開始からわずかな期間で「見に覚えのない利用があった」とTwitterなどで報告されていたが、きょうセブン&アイホールディングスなどが緊急記者会見を開催した。

セブンペイ、不正利用の経緯

発表によると“第三者がなんらかの方法で「7pay」利用者のアカウントにアクセスし、本人になりすまし、登録されたクレジットカードおよびデビットカードを通じて当該アカウントにチャージを行い、セブン-イレブン店舗において商品を購入する等”の被害があったとのこと。

サービス開始翌日の7月2日夜にユーザーから見に覚えのない取引があったとの問い合わせがあり、3日早朝に調査を実施して不正利用が確認された。

調査では中国など海外IPアドレスからのチャージ利用があったことが確認できたため、同日、10時30分ごろにアクセスを遮断。緊急ダイヤルを設置*し、7payのホームページでID・パスワード管理の注意喚起を掲載。その後、クレジット/デビットカードによるチャージ機能を停止している。

つながりにくくなっている緊急ダイヤルはスタッフを増員して対応しているとのこと。

被害規模と補償

不正アクセスによる被害は7月4日6時時点の試算ベース*で被害人数が約900人、被害額が約5,500万円。なお、7月3日時点でセブンペイの登録者は150万人強とのこと。

不正利用で購入された主な商品についてサンプル調査からたばこであると説明。高額であることや換金性の高さが要因とした。なお、Amazonギフトカードについても購入可能ではあるが、実際に不正利用されたかは明らかになっていない。

(少額決済が多い)コンビニということから1万円以上をチャージして、同じ日にほぼ同額を支払っているアカウントから試算

今後の対応についてはクレジット/デビットカードだけでなくすべてのチャージ機能を4日14時に一時停止し、今日または明日にも新規登録も停止する。すでにチャージした残高は引き続き利用可能だが、すべての機能を停止しない理由について現在は多額の不正利用が減っていることや利便性など総合的に判断して、としている。

サービスの再開についてはなるべく早い時期を目指すが、時期は未定とのこと。

また、被害に遭ったユーザーには“全ての被害に対して補償を行ってまいります。”としている。補償を受けるためのプロセスは検討中としたが、運営から被害者に連絡をいれ、補償を受けるためには被害届の提出が必要になるようだ。

原因は調査中。事前のセキュリティ審査で問題なしと判断

不正アクセスや不正利用の原因については調査中とした。

不正利用の原因のひとつとされていたメールアドレスと誕生日を入力することで、第三者が7iDのパスワードをリセット可能になっていたシステムについては必要項目をこれから見直すという。

2段階認証*を導入していない理由については以下のようにコメントした。

メールアドレス/ログインID、パスワードに加えて、ワンタイム方式の確認コードが必要になるセキュリティ性の高い認証方式

「セブンペイの基本設計というのはまず7iDというのがありまして、それを使ってセブン-イレブンアプリがあって、そのセブン-イレブンアプリのいち機能としてセブンペイというのが7月1日から入っておりますので、基本的に7iD、セブン-イレブンアプリとセブンペイとが連携した形で登録するという形になっておりますのでそういった意味で、2段階うんぬんというのと同じ土俵で比べられるのかそのへんは認識しておりません。」

なお、セブンペイのサービス開始前にはセキュリティ審査を実施したものの、脆弱性は指摘されなかったそうだ。ただし、パスワードリセットはセブンペイの機能ではなく、オムニ7なども関わる*既存の7iDに関するもので審査から漏れた可能性がありそうだ。

オムニ7のサイトやアプリ、セブン-イレブンアプリにおいても不正アクセスなどがないか確認したが、(特に海外のIPアドレスから)際立つものはなかったという

セブン&アイホールディングスなどは原因追求を徹底的に行い、抜本的な解決に向けて改善策を図っていくとしている。

コメントを残す

コメント利用規約

コメントは承認後に表示されます

過激な表現を用いたコメントは修正後に投稿するか削除します

攻撃的な表現を含む場合はIPアドレスを明記してコメントを公開します

(任意)
(任意)

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

プロフィールアイコン

Yusuke Sakakura

iPhone・Androidやスマートスピーカーに関するニュースはもちろん、レビューも届けるブログメディア「携帯総合研究所」主宰。元システムエンジニア、iPhoneの料金を3社間で比較できるシミュレーターの開発も

Latest新着記事

Apple Watch

2019/12/16
Apple Watch Hermès ヴォー・スウィフト(ノワール/ブリック/エタン) シンプルトゥールレザーストラップ レビュー

Appleニュース

2019/12/14
「Apple川崎」がオープン。1,600人超の行列、記念トートバッグ配布終了

スマホアプリ

2019/12/14
更新:iPhoneをiPodにするアプリ「Rewound」が公開

Appleニュース

2019/12/12
Apple川崎、オープン日に新トートバッグなど記念品を先着で配布
Recommendこんな記事も読まれています