当メディアではアフィリエイト広告を使用しています

更新:セブンペイ、不正アクセス被害の報告。システムに問題も

bio
Yusuke Sakakura更新日:2019/07/04 16:28
更新:セブンペイ、不正アクセス被害の報告。システムに問題も

7月1日からスタートしたセブンイレブンの独自スマホ決済サービス「7pay」(セブンペイ)で不正アクセス被害が発生しているようだ。

サービスを提供する株式会社セブン・ペイがユーザーに対して注意喚起している。

UPDATE:2019/07/04 09:19セブンペイやオムニ7などを利用するために必要な「7iD」で、誕生日とメールアドレスさえわかれば第三者がパスワードを再発行できる仕様が発見された。クレジット/デビットカードを使ってセブンペイの残高にチャージするには7iDのログイン情報のほかに「認証パスワード」が必要になるが、第三者がカンタンに残高を利用することはできる。
株式会社セブン・ペイは安易なパスワードの設定や使い回しに対して注意喚起していたが、システム上の問題も否定できなくなった。

UPDATE:2019/07/04 16:27セブン&アイグループなどが緊急会見を開催し、不正アクセスの被害規模や全額補償などを発表した。

セブンペイが不正利用された原因とは?

セブンペイの発表によると、一部のアカウントにおいて第三者に不正アクセスされる被害が確認されているとのこと。

不正アクセスによって残高へのチャージや残高を利用されてしまう被害が発生しているようだ。

メールアドレスとパスワードで残高の不正利用が可能

第三者がセブンペイを不正利用するにはセブン-イレブンアプリで7iD会員のメールアドレスまたはID、パスワードでログインする必要がある。

GoogleやFacebook、Twitterなどのシングルサインオンを利用して登録しない限り、2段階認証は利用できないため、他のサイト/サービスで利用しているメールアドレスとパスワードをセブンペイで使いまわしている場合や推測されやすいパスワードを設定した場合はカンタンに突破されてしまう。

また、第三者が不正ログインした時点でQRコードにアクセスされてしまうため、残高の不正利用が可能だ。

クレカによるチャージには「認証パスワード」が必要

セブンペイでは、レジまたはセブン銀行ATM以外にクレジットカード/デビットカードを使って残高にチャージできるが、7iD会員のログインに加えて「認証パスワード」が必要になる。

認証パスワードはワンタイム形式ではなく、7iD会員のパスワードと同じものが登録できるため、ここでもパスワードを使いまわしている場合はカンタンにクレジットカードを使って不正チャージされてしまう。

これからセブンペイに登録する人はパスワードの使い回しと推測されやすいパスワードは厳禁。すでに登録した人は複雑なパスワードに変更しよう。

ログインIDやパスワード、認証パスワードの変更方法は以下の記事で解説している。

クレジット/デビットカードによるチャージは利用停止に

不正利用で問題になったPayPayでは3Dセキュアに対応していなかったことやクレジットカード情報の入力回数に制限がなかったために、不正登録されたのでは?と、システムに責任があるとの声が多くあがった。

しかし、調査の結果、クレジットカードの登録時にセキュリティコードを20回以上入力して登録に至った件数はサービス開始以来わずか13件でうち9件は本人による利用だったことが確認される。不正利用の主な原因は外部のサービス等で入手されたセキュリティコードを含むクレジットカード情報が利用された可能性が高いと判断された。

今回の不正アクセス被害もセブンペイからログイン情報等が漏れ出たわけではなく、各ユーザーが設定した推測されやすいパスワードや使い回しにも問題があるようだ。

Twitterでは不正アクセスによって勝手に残高にチャージされたなどの被害報告が確認できるが、なかには他のサービスと同じパスワードを使いまわしていたというユーザーも確認できる。セブンペイが2段階認証を設定していれば防げたという声もあるが、パスワードを使い回さなければ防げたかもしれないというのも事実だ。

セブンペイは見に覚えのない取引がある場合はカード発行会社に速やかに申し出て、見に覚えのない利用履歴がある場合や利用をお知らせするメールが届いている場合は、24時間・年中無休の緊急ダイヤル(0570-012-113)に連絡しよう。

なお、今回の件でクレジット/デビットカードによるチャージは利用停止になっている。

コメント
コメント利用規約

質問は必ず記事を読んでから投稿してください

質問する際は画面にどういったメッセージが表示されているのか、利用機種・OSのバージョンも書いてください。

誹謗中傷を含む場合は発信者情報開示請求します。

攻撃的・侮辱的・過激・不快な表現を含む場合はIPアドレスを明記して公開します

VPNを使った書き込みおよび連投は承認されません。

コメントを残す

(任意)

Recommendこんな記事も読まれています