7月1日に提供開始した「7pay」において、不正アクセス被害が相次ぎクレジットカードで不正チャージされていることが報告されています。ユーザーに注意喚起すると共に7payのクレジットカードによるチャージ機能は停止され、他の機能については停止や変更はありません。
7月1日に提供開始したセブンイレブンのスマホ決済サービス「7pay(セブンペイ)」において、「7pay」の一部アカウントが、 第三者による不正アクセスの被害を受けたことが明らかになりました。
セブン&アイ・ホールディングス傘下の決済事業者セブン・ペイは7月3日、不正利用を防ぐため「ログインID、パスワード、認証パスワードの管理にご注意ください」とユーザーに注意喚起し、クレジットカードによるチャージ機能を停止しています。
「7pay」は会計時にアプリのバーコード画面を提示し、店員に読み取ってもらうことで支払いが完了するサービスです。電子マネーの残高はクレジットカードなどからチャージでき、200円(税別)の買い物につき1ポイントのnanacoポイントも付与しています。
セブン・ペイによると、一部のアカウントが第三者に乗っ取られ残高を不正利用される被害が報告されていてユーザーに注意喚起しています。
Twitter上でも「クレジットカードで計18万円不正チャージされ、9万円を利用された」「20万円を勝手にチャージされた」「3万円を3回チャージされたので、クレジットカードの利用を停止した」といった不正アクセス被害の報告が相次いでいます。
この件についてセブン&アイ・ホールディングスに問い合わせると、同社では問題を把握していて「ご迷惑をおかけしている方々にお詫び申し上げたい」と述べつつ、「調査中かつ社内で検討中であり、現状で話せることはない」と回答しています。
現状ではセブンペイからの連絡は定型的なもので、今回不正利用された金額がどう補償されるのかも現時点では不明となっています。
7payの注意書きでは同社規定のアクセス手段であれば、例え第三者による使用であっても責任を負わないという文言もあり、その点でも不安が残ります。
セブン・ペイによると不正アクセスされるケースを以下のように挙げユーザーに注意喚起しています。
不正ログインの被害の問題の経過としては、7月3日朝の時点で顧客からの問い合わせで問題を認識し、その後実際に複数の被害があったという報告を受けているものの、その件数や規模などは現状で測りかねるとしています。
そして7月3日午後、ユーザーに注意喚起を行いクレジットカードとデビットカードによる7payへの電子マネーのチャージを一時停止して、その再開時期は未定としています。
取引の安全性を確認するまでは、セブン銀行ATMでの現金チャージ、nanacoポイントでのチャージ、セブン‐イレブン店頭レジでの現金チャージのみに対応するようです。
またユーザーに注意喚起した後クレジットカードからのチャージを停止していますが、7iDやクレジットカードの登録といった他の機能については現状停止や変更ということはありません。
今後は今回の一連の問題に対応しながらどうするか決めていくとしています。
7payはサービス初日に、アクセスの集中によってページの読み込みなどができず会員登録ができない不具合も発生していました。
今回の不正アクセス被害によってサポート電話がつながりにくい状況については、7月4日以降に回線数を広げる形で電話を受けやすい体制を整えるとのことで、適時対応していく意向です。
今回の7payの不正アクセスの問題は、基本的には昨年2018年12月に発生したPayPayでの不正利用の事例と同様のパターンと言えます。
PayPayの場合は事前に何らかの方法で不正入手されていたクレジットカード番号、有効期限、セキュリティコードをPayPayアプリに登録し、それを店頭での換金性の高い高額商品購入に利用することで第三者がクレジットカードの不正利用を可能にしていました。
店舗での対面販売の場合クレジットカードの券面や本人確認などが入ることが前提に、利用制限が緩く設定されていますが、一方で誰が利用しているかわかりにくいオンライン上での決済では3Dセキュアを含む安全対策などセキュリティ対応に違いがあります。
しかしPayPayのようなモバイル決済サービスの場合、オンライン上でカードを登録して対面販売での利用が可能なため、このセキュリティ対応の差を突かれた形となりました。
その後PayPayでは決済上限の大幅縮小とともに、制限解除のために本人認証サービスである3Dセキュア利用を必須にするなど、対策を強化していています。それ以後はサービス開始当初のような大きな問題は報告されていません。
7payの場合ですが、7payは新サービスでありながら、実際には既存の「セブンイレブン」アプリがアップデートする形で新たに7payの機能が加えられている形となっています。
セブンイレブンアプリでは、まずアプリそのものを利用するための「7iD」があり、これとは別に7payの残高チャージに利用するクレジットカード/デビットカードを登録した場合、そのチャージを実行するための「チャージ用パスワード」を設定します。
この点に問題があり、例えば7iDではメールアドレスをログイン用IDに指定しますが、これ自体には本人確認用の手段が取られておらず勝手に他人のメールアドレスを登録することも可能となっています。
またチャージ用パスワードは「半角英字(小文字)と数字で6文字以上16文字以下」となっていて、パスワードとしては非常弱い設定です。7iDの認証が完了すれば、あとはチャージ用パスワードは簡易なものでも構わない設定となっているようにも感じます。
1 / 2
続きを読む