「7pay」サービスを9月末に終了！会見で発表！

セブン&アイ・ホールディングスが「7pay」の一部アカウントに不正アクセスが発生した事案を受け、2019年9月末日24時をもって「7pay」のサービスを終了することを会見にて発表しました。

セブン&アイ・ホールディングスが提供を開始した「7pay」は、7月1日、「セブンイレブン」アプリ内に搭載される形でサービス提供が始まったばかりです。

サービス開始の翌日に一部ユーザーから「見に覚えのない取引があった」といった問い合わせが多数あり、開始3日目の7月3日に不正利用が発覚する事態となってしまいました。

セブン&アイ・ホールディングスでは、開始からわずか3日目の7月3日、クレジット／デビットカードのチャージ利用について停止を行いました。

続いて、翌日4日には店舗レジおよびセブン銀行ATからのチャージ利用や新規会員登録についても停止を行っています。

2019年9月末日24時をもって「7pay」のサービスを終了すると会見にて発表するに至った不正アクセスの経緯について確認していきましょう。

2019年9月末日24時をもって7payのサービスを終了すると会見にて発表するに至った不正アクセスが行われた手口についてみていきましょう。

サービス開始の翌日に一部ユーザーから「見に覚えのない取引があった」といった問い合わせが多数あり、開始3日目の7月3日に不正利用が発覚する事態となってしまった件については、捜査当局による捜査が引続き行われています。

セブン&アイ・ホールディングスが外部情報セキュリティ会社と連携した「セキュリティ対策プロジェクト」の調査を実施しています。

その調査では、今回の不正アクセスについて、「攻撃者がどこかで不正に入手した ID・パスワードのリストを用い、「7pay」の利用者になりすまし 不正アクセスを試みる『リスト型アカウントハッキング』である可能性が高い」との結論に至ったとしています。

不正アクセスが発生した原因について、「セキュリティ対策プロジェクト」では、「現時点で、外部 ID 連携・パス ワードリマインダー、有人チャットによるパスワードリセット等が、不正アクセスの直接の原因となった事例は見つかっていないとしています。

また、セブン&アイ・ホールディングスの内部からの流出についても、「確認調査を 行ったが明確な流出の痕跡は確認できない」との結果を公表しています。

セブン&アイ・ホールディングスでは、主原因として『リスト型アカウントハッキング』の可能性が高いと認識する一方で、同社がこうした手口による犯行を防ぐことができなかった理由として大きく3つの要因が あると会見にて発表しています。

セブン&アイ・ホールディングスが会見にて犯行を防ぐことができなかった理由としてあげている3つの要因については以下の通りです。
 

1. 7pay に関わるシステム上の認証レベル
2. 7pay の開発 体制
3. 7pay におけるシステムリスク管理体制

「7pay」に関わるシステム上の認証レベルについてですが、「7pay」の開発当初より様々な観点から議論、検証を進めたが最終的に「複数端末からのログインに対する対策」や「二要素認証等の追加認証の検討」が十分でなかったことが問題視されています。

「7pay」では、他社で運用されているログインの際の二段階認証の導入を行っておらず、「7pay」に関わるシステム上の認証レベルの低さが『リスト型アカウント ハッキング』に対する防御力を弱めたとしています。

「7pay 」のシステムの開発には、セブン&アイ・ホールディングスのグループ各社が参加して開発されています。

「7pay 」のシステムの開発段階より、システム全体の最適化を十分に検証できていなかった点が今回の事案を引き起こした原因の 1つになったと認識しているとのことです。

「7pay」におけるシステムリスク管理体制についてですが、「7pay」におけるシステムを管理するにあたって、リスク管理上の相互検証、相互牽制の仕組みや対応が十分に機能していたか、明確にはなっていません。

セブン&アイ・ホールディングスでは、この「7pay」におけるシステムリスク管理体制の検証についても今後更なる検証対応が必要としています。

セブン&アイ・ホールディングスが展開する「7pay」の一部アカウントに不正アクセスでの被害について4日6時時点で不正アクセスが疑われる人数は約900人、被害額は約5500万円であると報告されていいます。

セブン&アイ・ホールディングスでは、不正アクセスでの被害に遭ったユーザーへの対応として、すべての被害に対して補償をおこなうとしています。

また、「7pay」は、上記の事態を重く受け止め、7月3日にクレジットカードとデビットカードによるチャージを一時停止を実施しました。

さらに同4日からセブン-イレブン店頭およびセブン銀行ATMでの現金チャージ、nanacoポイントからのチャージを含むすべてのチャージ機能も停止を行いました。なお、この事態をうけ、「7pay」への新規登録も一時停止することとなりました。

セブン&アイ・ホールディングスでは、不正アクセスをうけ、7月5日には「セキュリティ対策プロジェクト」を設置しています。

新規に設置した「セキュリティ対策プロジェクト」では、モニタリング体制の強化を図り正常な「7pay」の運営に向け対策を講じてきました。

ですが、セキュリティ対策を講じた「7pay」チャージなど全サービスの再開には相応の期間を必要とすることや、ユーザーが依然として「7pay」に対し不安をもっている点を重く受け止め、8月1日に「7pay」サービス終了の決断を行ったとされています。

7月30日、「7pay」での不正ログイン被害を受け、不正アクセスへの対応・対策としてモバイル決済サービス「7pay」や通販サイト「オムニ7」などのログインに必要な「7iD」のパスワードを、一斉にリセットしたことを発表しました。

「7pay」や通販サイト「オムニ7」などのログインに必要な「7iD」のパスワードを一斉にリセット行った経緯として、「7pay」での不正ログイン被害を受けた対策措置としており、「7iD」の利用者は、全員、パスワードを再設定する必要があるとしていました。

この「7iD」パスワードを一斉にリセットした件についても、ユーザーから「再設定を行ったら残高が0になった」、「残高がないのに、コンビニで決済できたといわれた」などの問い合わせがあがっています。

2019年9月末日24時をもって7payのサービスを終了すると会見にて発表するに至った不正アクセスが被害残高について確認しておきましょう。

7月31日時点の被害人数は808 人と報告されており、不正アクセスによる被害金額3861万5473円で、7月中旬以降は新たな被害は確認されていないとしています。

セブン&アイ・ホールディングスでは、今回の被害に遭ったユーザーへの対応として、不正チャージおよび不正利用にかかわらず、被害金額を全額補償するとしています。

また、9月末日のサービス終了時点で未使用の「7Pay」チャージ残高については、法令上の手続きを行い、順次「7Pay」チャージ残高払い戻しすると案内しています。

なお、不正アクセス被害への対応は、7payお客様サポートセンター緊急ダイヤル（☎0120-192-044：24時間・年中無休）で受け付けています。

セブン&アイ・ホールディングスでは、「7Pay」の不正アクセスにてクレジットカードでの不正利用にあったユーザーに対しては、カード会社と連携し、引き落としを停止する措置を実施すると発表しています。

なお、手続きの関係上、引き落としが間に合わなかった人やデビッドカードで被害にあった人に対しては、被害額について、後日払い戻しを行うとしています。

「7pay」のサービスを利用のすべてのユーザーへの対応として、9月末の「7Pay」サービス終了に伴い、未使用の「7Pay」チャージ残高は返金することを発表しています。

セブン&アイ・ホールディングスでは、サービス終了時点で未使用の「7Pay」チャージ残高については、法令上の手続きを経た後に、順次払い戻しの対応を行うとしており、払戻の詳細については後日発表となる予定です。

「7pay（セブンペイ）」の不正アクセス発生経緯から8月末のサービス終了をうけ、ユーザーの反応について一部、ご紹介していきます。

サービス開始からわずかの期間で終了となる「7pay（セブンペイ）」について、ユーザーは、開始当初より不安の声をあげていました。

上記ツイートのように運営側の不甲斐なさをイジル投稿もあります。

9月末にてサービス終了を発表した、セブン&アイ・ホールディングス は、今回の「7pay 」のサービスが大規模な不正アクセス攻撃を受けることとなった事態を真摯に受け止め、当該サービスの廃止を決定したとしています。

ですが、セブン&アイ・ホールディングス では、キャッシュレス化への社会的ニーズはきわめて高く、キャッシュレスへのニーズへの対応は今後ますます重要性を増していくと認識しているとしています。

セブン&アイ・ホールディングス では、グループ外部の様々な決済サービスとの連携を積極的に推進することで、 こうした社会の要請にしっかり応えつつ、より広範なお客様にキャッシュレスサービスを提供行く方針を示しています。

セブン&アイ・ホールディングス では、今後もユーザーへの対応として、キャッシュ決済、キャッシュレス決済両面にわたり快適にお買物をしていただける環境を提供し、グループのサービス体制を拡充していくとしています。