【7pay】不正利用でクレカチャージが停止！不正アクセス報告相次ぐ！

7月1日に提供開始したセブンイレブンのスマホ決済サービス「7pay（セブンペイ）」において、「7pay」の一部アカウントが、 第三者による不正アクセスの被害を受けたことが明らかになりました。

セブン＆アイ・ホールディングス傘下の決済事業者セブン・ペイは7月3日、不正利用を防ぐため「ログインID、パスワード、認証パスワードの管理にご注意ください」とユーザーに注意喚起し、クレジットカードによるチャージ機能を停止しています。

「​​7pay」は会計時にアプリのバーコード画面を提示し、店員に読み取ってもらうことで支払いが完了するサービスです。電子マネーの残高はクレジットカードなどからチャージでき、200円（税別）の買い物につき1ポイントのnanacoポイントも付与しています。

セブン・ペイによると、一部のアカウントが第三者に乗っ取られ残高を不正利用される被害が報告されていてユーザーに注意喚起しています。

Twitter上でも「クレジットカードで計18万円不正チャージされ、9万円を利用された」「20万円を勝手にチャージされた」「3万円を3回チャージされたので、クレジットカードの利用を停止した」といった不正アクセス被害の報告が相次いでいます。

この件についてセブン＆アイ・ホールディングスに問い合わせると、同社では問題を把握していて「ご迷惑をおかけしている方々にお詫び申し上げたい」と述べつつ、「調査中かつ社内で検討中であり、現状で話せることはない」と回答しています。

現状ではセブンペイからの連絡は定型的なもので、今回不正利用された金額がどう補償されるのかも現時点では不明となっています。

7payの注意書きでは同社規定のアクセス手段であれば、例え第三者による使用であっても責任を負わないという文言もあり、その点でも不安が残ります。

セブン・ペイによると不正アクセスされるケースを以下のように挙げユーザーに注意喚起しています。
 

• クレジットカード・デビットカードを7payに登録した際に設定する認証パスワードと、7payのログインID・パスワードを同じ文字列にしている場合
• ログインID・パスワードを簡易な文字列にしている場合

不正ログインの被害の問題の経過としては、7月3日朝の時点で顧客からの問い合わせで問題を認識し、その後実際に複数の被害があったという報告を受けているものの、その件数や規模などは現状で測りかねるとしています。

そして7月3日午後、ユーザーに注意喚起を行いクレジットカードとデビットカードによる7payへの電子マネーのチャージを一時停止して、その再開時期は未定としています。

取引の安全性を確認するまでは、セブン銀行ATMでの現金チャージ、nanacoポイントでのチャージ、セブン‐イレブン店頭レジでの現金チャージのみに対応するようです。

またユーザーに注意喚起した後クレジットカードからのチャージを停止していますが、7iDやクレジットカードの登録といった他の機能については現状停止や変更ということはありません。

今後は今回の一連の問題に対応しながらどうするか決めていくとしています。

7payはサービス初日に、アクセスの集中によってページの読み込みなどができず会員登録ができない不具合も発生していました。

今回の不正アクセス被害によってサポート電話がつながりにくい状況については、7月4日以降に回線数を広げる形で電話を受けやすい体制を整えるとのことで、適時対応していく意向です。

今回の7payの不正アクセスの問題は、基本的には昨年2018年12月に発生したPayPayでの不正利用の事例と同様のパターンと言えます。

PayPayの場合は事前に何らかの方法で不正入手されていたクレジットカード番号、有効期限、セキュリティコードをPayPayアプリに登録し、それを店頭での換金性の高い高額商品購入に利用することで第三者がクレジットカードの不正利用を可能にしていました。

店舗での対面販売の場合クレジットカードの券面や本人確認などが入ることが前提に、利用制限が緩く設定されていますが、一方で誰が利用しているかわかりにくいオンライン上での決済では3Dセキュアを含む安全対策などセキュリティ対応に違いがあります。

しかしPayPayのようなモバイル決済サービスの場合、オンライン上でカードを登録して対面販売での利用が可能なため、このセキュリティ対応の差を突かれた形となりました。

その後PayPayでは決済上限の大幅縮小とともに、制限解除のために本人認証サービスである3Dセキュア利用を必須にするなど、対策を強化していています。それ以後はサービス開始当初のような大きな問題は報告されていません。

7payの場合ですが、7payは新サービスでありながら、実際には既存の「セブンイレブン」アプリがアップデートする形で新たに7payの機能が加えられている形となっています。

セブンイレブンアプリでは、まずアプリそのものを利用するための「7iD」があり、これとは別に7payの残高チャージに利用するクレジットカード／デビットカードを登録した場合、そのチャージを実行するための「チャージ用パスワード」を設定します。

この点に問題があり、例えば7iDではメールアドレスをログイン用IDに指定しますが、これ自体には本人確認用の手段が取られておらず勝手に他人のメールアドレスを登録することも可能となっています。

またチャージ用パスワードは「半角英字（小文字）と数字で6文字以上16文字以下」となっていて、パスワードとしては非常弱い設定です。7iDの認証が完了すれば、あとはチャージ用パスワードは簡易なものでも構わない設定となっているようにも感じます。

試行回数そのものに制限がないという報告もされていて、特定のキーワードの組み合わせを使ってパスワードを総当たりで試すタイプの攻撃やすでに入手済みのID／パスワードのコンビネーションを総当たりで試す攻撃対して脆弱性を持つ点も問題と言えます。

ただ今回の7pay不正アクセス被害のケースでは、7payだけの専用のパスワードで、2つのパスワードは異なるものでどちらも16文字と、単純攻撃するには少々手間取るユーザーにも関わらず被害に遭っている報告があります。

この点において考えると、実際には別の手段で攻撃が行われている可能性も考えられます。

「7pay」の不正アクセス被害から見る真の問題は、顧客の利便性を無視した形でユーザーのモバイルアプリへの誘導を図るコンビニ側の一連の対応と言えるでしょう。

セブンイレブンでは7pay発表によってnanacoのポイント還元率を半分にし、代わりに期間限定で7payのポイント還元率を従来のnanacoの水準に設定しました。つまり明らかにnanacoから7payへの誘導を図っています。

この背景にはアプリ戦略が後手にまわっていたためにユーザーとの直接のタッチポイントが店頭のみという状態だったコンビニ各社が、独自の「pay」サービスを提供することで取り込みにかかったという事情があります。

モバイルアプリとは、電子マネーや現金、ポイントカードなど既存の全ての決済手段の利便性を上回ってこそ初めて継続して利用して貰えるものとなるでしょう。

7payと同日にスタートしたファミペイも含め、何度もアプリの不具合が発生したり店内のオペレーションを混乱させたりする面倒な要因にしかならないのであれば、キャンペーン終了と同時に使われなくなる可能性も高いでです。

改めて顧客の利便性を考えたサービス提供がなされることが望まれます。