スマホ決済サービス「7pay(セブンペイ)」の一部アカウントに不正アクセスが発生した事案を受け9月末にて「7pay」のサービスを終了すると発表しました。「7pay(セブンペイ)」の不正アクセス発生経緯から8月末のサービス終了に至るまでわかりやすくご説明します。
セブン&アイ・ホールディングスが「7pay」の一部アカウントに不正アクセスが発生した事案を受け、2019年9月末日24時をもって「7pay」のサービスを終了することを会見にて発表しました。
セブン&アイ・ホールディングスが提供を開始した「7pay」は、7月1日、「セブンイレブン」アプリ内に搭載される形でサービス提供が始まったばかりです。
サービス開始の翌日に一部ユーザーから「見に覚えのない取引があった」といった問い合わせが多数あり、開始3日目の7月3日に不正利用が発覚する事態となってしまいました。
セブン&アイ・ホールディングスでは、開始からわずか3日目の7月3日、クレジット/デビットカードのチャージ利用について停止を行いました。
続いて、翌日4日には店舗レジおよびセブン銀行ATからのチャージ利用や新規会員登録についても停止を行っています。
2019年9月末日24時をもって「7pay」のサービスを終了すると会見にて発表するに至った不正アクセスの経緯について確認していきましょう。
2019年9月末日24時をもって7payのサービスを終了すると会見にて発表するに至った不正アクセスが行われた手口についてみていきましょう。
サービス開始の翌日に一部ユーザーから「見に覚えのない取引があった」といった問い合わせが多数あり、開始3日目の7月3日に不正利用が発覚する事態となってしまった件については、捜査当局による捜査が引続き行われています。
セブン&アイ・ホールディングスが外部情報セキュリティ会社と連携した「セキュリティ対策プロジェクト」の調査を実施しています。
その調査では、今回の不正アクセスについて、「攻撃者がどこかで不正に入手した ID・パスワードのリストを用い、「7pay」の利用者になりすまし 不正アクセスを試みる『リスト型アカウントハッキング』である可能性が高い」との結論に至ったとしています。
不正アクセスが発生した原因について、「セキュリティ対策プロジェクト」では、「現時点で、外部 ID 連携・パス ワードリマインダー、有人チャットによるパスワードリセット等が、不正アクセスの直接の原因となった事例は見つかっていないとしています。
また、セブン&アイ・ホールディングスの内部からの流出についても、「確認調査を 行ったが明確な流出の痕跡は確認できない」との結果を公表しています。
セブン&アイ・ホールディングスでは、主原因として『リスト型アカウントハッキング』の可能性が高いと認識する一方で、同社がこうした手口による犯行を防ぐことができなかった理由として大きく3つの要因が あると会見にて発表しています。
セブン&アイ・ホールディングスが会見にて犯行を防ぐことができなかった理由としてあげている3つの要因については以下の通りです。
「7pay」に関わるシステム上の認証レベルについてですが、「7pay」の開発当初より様々な観点から議論、検証を進めたが最終的に「複数端末からのログインに対する対策」や「二要素認証等の追加認証の検討」が十分でなかったことが問題視されています。
「7pay」では、他社で運用されているログインの際の二段階認証の導入を行っておらず、「7pay」に関わるシステム上の認証レベルの低さが『リスト型アカウント ハッキング』に対する防御力を弱めたとしています。
「7pay 」のシステムの開発には、セブン&アイ・ホールディングスのグループ各社が参加して開発されています。
「7pay 」のシステムの開発段階より、システム全体の最適化を十分に検証できていなかった点が今回の事案を引き起こした原因の 1つになったと認識しているとのことです。
1 / 3
続きを読む