bubble bubble2 google-plus facebook facebook2 twitter instagram twitter2 cart

更新:セブンペイ、不正アクセス被害の報告。システムに問題も

キャッシュレス

セブンペイ、不正アクセス被害を報告。パスワードの使い回しなどが原因か

7月1日からスタートしたセブンイレブンの独自スマホ決済サービス「7pay」(セブンペイ)で不正アクセス被害が発生しているようだ。

サービスを提供する株式会社セブン・ペイがユーザーに対して注意喚起している。

UPDATE:2019/07/04 09:19セブンペイやオムニ7などを利用するために必要な「7iD」で、誕生日とメールアドレスさえわかれば第三者がパスワードを再発行できる仕様が発見された。クレジット/デビットカードを使ってセブンペイの残高にチャージするには7iDのログイン情報のほかに「認証パスワード」が必要になるが、第三者がカンタンに残高を利用することはできる。
株式会社セブン・ペイは安易なパスワードの設定や使い回しに対して注意喚起していたが、システム上の問題も否定できなくなった。
END OF UPDATE

UPDATE:2019/07/04 16:27セブン&アイグループなどが緊急会見を開催し、不正アクセスの被害規模や全額補償などを発表した。END OF UPDATE

セブンペイが不正利用された原因とは?

セブンペイの発表によると、一部のアカウントにおいて第三者に不正アクセスされる被害が確認されているとのこと。

不正アクセスによって残高へのチャージや残高を利用されてしまう被害が発生しているようだ。

メールアドレスとパスワードで残高の不正利用が可能

第三者がセブンペイを不正利用するにはセブン-イレブンアプリで7iD会員のメールアドレスまたはID、パスワードでログインする必要がある。

GoogleやFacebook、Twitterなどのシングルサインオンを利用して登録しない限り、2段階認証は利用できないため、他のサイト/サービスで利用しているメールアドレスとパスワードをセブンペイで使いまわしている場合や推測されやすいパスワードを設定した場合はカンタンに突破されてしまう。

また、第三者が不正ログインした時点でQRコードにアクセスされてしまうため、残高の不正利用が可能だ。

クレカによるチャージには「認証パスワード」が必要

セブンペイでは、レジまたはセブン銀行ATM以外にクレジットカード/デビットカードを使って残高にチャージできるが、7iD会員のログインに加えて「認証パスワード」が必要になる。

認証パスワードはワンタイム形式ではなく、7iD会員のパスワードと同じものが登録できるため、ここでもパスワードを使いまわしている場合はカンタンにクレジットカードを使って不正チャージされてしまう。

これからセブンペイに登録する人はパスワードの使い回しと推測されやすいパスワードは厳禁。すでに登録した人は複雑なパスワードに変更しよう。

ログインIDやパスワード、認証パスワードの変更方法は以下の記事で解説している。

クレジット/デビットカードによるチャージは利用停止に

不正利用で問題になったPayPayでは3Dセキュアに対応していなかったことやクレジットカード情報の入力回数に制限がなかったために、不正登録されたのでは?と、システムに責任があるとの声が多くあがった。

しかし、調査の結果、クレジットカードの登録時にセキュリティコードを20回以上入力して登録に至った件数はサービス開始以来わずか13件でうち9件は本人による利用だったことが確認される。不正利用の主な原因は外部のサービス等で入手されたセキュリティコードを含むクレジットカード情報が利用された可能性が高いと判断された。

今回の不正アクセス被害もセブンペイからログイン情報等が漏れ出たわけではなく、各ユーザーが設定した推測されやすいパスワードや使い回しにも問題があるようだ。

Twitterでは不正アクセスによって勝手に残高にチャージされたなどの被害報告が確認できるが、なかには他のサービスと同じパスワードを使いまわしていたというユーザーも確認できる。セブンペイが2段階認証を設定していれば防げたという声もあるが、パスワードを使い回さなければ防げたかもしれないというのも事実だ。

セブンペイは見に覚えのない取引がある場合はカード発行会社に速やかに申し出て、見に覚えのない利用履歴がある場合や利用をお知らせするメールが届いている場合は、24時間・年中無休の緊急ダイヤル(0570-012-113)に連絡しよう。

なお、今回の件でクレジット/デビットカードによるチャージは利用停止になっている。

コメントを残す

コメント利用規約

コメントは承認後に表示されます

過激な表現を用いたコメントは修正後に投稿するか削除します

攻撃的な表現を含む場合はIPアドレスを明記してコメントを公開します

(任意)
(任意)

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

プロフィールアイコン

Yusuke Sakakura

iPhone・Androidやスマートスピーカーに関するニュースはもちろん、レビューも届けるブログメディア「携帯総合研究所」主宰。元システムエンジニア、iPhoneの料金を3社間で比較できるシミュレーターの開発も

Latest新着記事

AirPods

2019/11/15
「AirPods Pro」、発売後初のアップデート配信。音途切れの改善に期待

Pixelの噂・最新情報

2019/11/15
Pixel 3シリーズが最大3.6万円引き。Googleストアで数量限定

HUAWEIの噂・最新情報

2019/11/14
“プロレベル”の4眼カメラ搭載「HUAWEI nova 5T」登場。価格は5.9万円

LINE

2019/11/14
LINEとソフトバンク、経営統合について「検討を進めていることは事実」と発表
Recommendこんな記事も読まれています