7月1日からスタートしたセブンイレブンの独自スマホ決済サービス「7pay」(セブンペイ)で不正アクセス被害が発生しているようだ。
サービスを提供する株式会社セブン・ペイがユーザーに対して注意喚起している。
UPDATE:2019/07/04 09:19セブンペイやオムニ7などを利用するために必要な「7iD」で、誕生日とメールアドレスさえわかれば第三者がパスワードを再発行できる仕様が発見された。クレジット/デビットカードを使ってセブンペイの残高にチャージするには7iDのログイン情報のほかに「認証パスワード」が必要になるが、第三者がカンタンに残高を利用することはできる。
株式会社セブン・ペイは安易なパスワードの設定や使い回しに対して注意喚起していたが、システム上の問題も否定できなくなった。
UPDATE:2019/07/04 16:27セブン&アイグループなどが緊急会見を開催し、不正アクセスの被害規模や全額補償などを発表した。
セブンペイが不正利用された原因とは?
セブンペイの発表によると、一部のアカウントにおいて第三者に不正アクセスされる被害が確認されているとのこと。
不正アクセスによって残高へのチャージや残高を利用されてしまう被害が発生しているようだ。
メールアドレスとパスワードで残高の不正利用が可能
第三者がセブンペイを不正利用するにはセブン-イレブンアプリで7iD会員のメールアドレスまたはID、パスワードでログインする必要がある。
GoogleやFacebook、Twitterなどのシングルサインオンを利用して登録しない限り、2段階認証は利用できないため、他のサイト/サービスで利用しているメールアドレスとパスワードをセブンペイで使いまわしている場合や推測されやすいパスワードを設定した場合はカンタンに突破されてしまう。
また、第三者が不正ログインした時点でQRコードにアクセスされてしまうため、残高の不正利用が可能だ。
クレカによるチャージには「認証パスワード」が必要
セブンペイでは、レジまたはセブン銀行ATM以外にクレジットカード/デビットカードを使って残高にチャージできるが、7iD会員のログインに加えて「認証パスワード」が必要になる。
認証パスワードはワンタイム形式ではなく、7iD会員のパスワードと同じものが登録できるため、ここでもパスワードを使いまわしている場合はカンタンにクレジットカードを使って不正チャージされてしまう。
これからセブンペイに登録する人はパスワードの使い回しと推測されやすいパスワードは厳禁。すでに登録した人は複雑なパスワードに変更しよう。
ログインIDやパスワード、認証パスワードの変更方法は以下の記事で解説している。
クレジット/デビットカードによるチャージは利用停止に
不正利用で問題になったPayPayでは3Dセキュアに対応していなかったことやクレジットカード情報の入力回数に制限がなかったために、不正登録されたのでは?と、システムに責任があるとの声が多くあがった。
しかし、調査の結果、クレジットカードの登録時にセキュリティコードを20回以上入力して登録に至った件数はサービス開始以来わずか13件でうち9件は本人による利用だったことが確認される。不正利用の主な原因は外部のサービス等で入手されたセキュリティコードを含むクレジットカード情報が利用された可能性が高いと判断された。
今回の不正アクセス被害もセブンペイからログイン情報等が漏れ出たわけではなく、各ユーザーが設定した推測されやすいパスワードや使い回しにも問題があるようだ。
Twitterでは不正アクセスによって勝手に残高にチャージされたなどの被害報告が確認できるが、なかには他のサービスと同じパスワードを使いまわしていたというユーザーも確認できる。セブンペイが2段階認証を設定していれば防げたという声もあるが、パスワードを使い回さなければ防げたかもしれないというのも事実だ。
セブンペイは見に覚えのない取引がある場合はカード発行会社に速やかに申し出て、見に覚えのない利用履歴がある場合や利用をお知らせするメールが届いている場合は、24時間・年中無休の緊急ダイヤル(0570-012-113)に連絡しよう。
なお、今回の件でクレジット/デビットカードによるチャージは利用停止になっている。