8月1日、セブン&アイグループが都内で緊急会見を開き、セブン−イレブンで利用できるスマホ決済サービス「7pay」を9月30日24時をもって終了すると発表した。
不正アクセスはリスト型ハッキングが原因と説明
「7pay」のサービス廃止に至った理由は以下の3つ。
- 7payについて、チャージを含めて全てのサービスを再開するに足る抜本的な対応を完了するには相応の期間を必要とすると想定されること
- その間、サービスを継続するとすれば「利用(支払)のみ」、という不完全な形とせざるを得ないこと
- 当該サービスに関し、お客様は依然としてご不安をお持ちであること
不正アクセスの手口については、どこかで不正に入手したIDとパスワードのリストを用いて7pay利用者になりすまし、不正アクセスを試みる「リスト型アカウントハッキング」である可能性が高いと説明。
同時間帯にパスワードエラーやIDエラーが多発したあとで、不正利用が行われたことがログから確認できたという。また、一部の被害者からパスワードを使いまわしていたという証言も得たとのこと。
なお、7payでは「7iD」にログインする際のパスワードのほかに、チャージの際にも別のパスワードを入力する必要があるが、設計上同じパスワードを設定することもできた。
2段階認証を導入しなかった理由
リスト型アカウントハッキングを防げなかった原因としては複数端末からのログインに対する対策、2段階認証等の追加認証の検討が十分でなかったこと、システム全体の最適化を十分に検証できていなかったことなどをあげた。
なお、2段階認証の導入を見送った理由としては、利用状況をモニタリングして決済をストップするなどの対策をすることでログインの敷居が低くてもカバーできるのではないか、と説明した。
サービス廃止の発表直前に実施した全ユーザーのパスワードリセットについては、現時点で「7iD」に関連する個人情報については明確な漏洩の痕跡が認められていないものの、「7iD」に紐付いた様々なサービスを引き続き安心して利用してもらうためとのこと。
すべての被害額を補償。残高は返金へ
不正アクセスによる被害人数は808人で被害額は3861万5473円であることと、全額を補償することも発表された。
不正チャージによる被害については、各カード会社と協力して支払日までにチャージ分が引き落とされないように順次対応を進めていて、支払日までに対応が間に合わず引き落とされた場合でも翌月以降、引き落とし口座で確実に精算する。
nanacoポイントの不正チャージと残高の不正利用については、8月19日より順次補償手続きについて個別に案内をするが、ユーザーが7payお客様サポートセンター緊急ダイヤル(0120-192-044)まで問い合わせる必要がある。
なお、サービス終了時点で未使用のチャージ残高があった場合は、順次払い戻しをする。
独自決済サービスの再開発は?
今後のキャッシュレス化ついては、社会的ニーズが極めて高く、重要性が増していくことから、引き続き新たなキャッシュレスサービスの可能性を探り、グループ外の様々な決済サービスとの連携を積極的に推進することで社会の要請にしっかり答えつつ、より広範なキャッシュレスサービスを提供したいとした。
7payは廃止となり、今後は他社の決済サービスとの連携を推進するとのことだが、独自決済サービスの開発について記者から聞かれると、スマホ決済のニーズは今後も高まっていく。次はしっかり体制を準備してもう一度参加できるかチャレンジしたいが今後の予定は白紙と答えた。
今後、サービスを提供するにあたって、システム上のセキュリティ改善は必須だが、グループを横断的に情報セキュリティを統括管理する組織を設置するという。
- | 7pay