その他

【7pay】7pay不正アクセス。たった4日間で何が起きたのか?時系列でまとめました。

 

19万円のクレジットカード引き落とし。しかし、身に覚えがない…

 

 

A

まさに、いつの間にか”お金が消える”という恐怖…。

 

 

こんなこと、「セキュリティ対策が『完璧に』施されたであろう令和時代には、関係ない話」と思いますよね。

 

 

しかし残念ながら、実際は違うようです。

 

 

A

先日7pay(セブンペイ)という決済サービスで、不正アクセスの被害が起きました。

 

 

被害総額はたったの4日間で、5500万円に上ります。

 

 

いったいなぜこんなことが起こったのでしょうか?

 

 

この記事を読むことで、7payのサービスから一連の流れ、事件の犯人まで全て分かります。

 

 

 

7payとは

 

7pay(セブンペイ)は新しい「QRコード決済」のサービスです。

 

 

A

7月1日、セブン&アイ・ホールディングスのグループ、「株式会社セブン・ペイ」よりサービスをスタートしました。

 

 

すでに登録者数は約150万人とされています。

 

 

全国のセブン-イレブンでお手軽に利用可能な、QRコード決済の7pay。

 

 

まずは、QRコード決済と、7payの特徴についてみていきましょう。

 

 

QRコード決済

「レジで現金を出すのが面倒で手間だと感じる」

 

 

QRコード決済は、上記のような方にピッタリなサービスです。

 

 

スマホに表示されたQRコードを店員に見せ、バーコードリーダーで「ピッ!」としてもらうだけで決済が完了します。

 

 

まさに、『スマホ一つで決済できる』話題の決済方法です。

 

 

7pay以外にも

・PayPay
・メルペイ
・LINE Pay

 

といったQRコード決済サービスがあります。

 

 

「CMで最近よくみる」という方も多いのではないでしょうか。

 

 

A

来年の東京オリンピックに向け、日本社会に急速に普及している決済サービス。それが、QRコード決済です。

 

 

7payの特徴

カンタン登録 最短2タップでスタート!

 

セブン-イレブンの国内店舗数は20,973店(2019年6月末時点)。

 

 

そんな、全国のセブン-イレブンで手軽に使える7pay。

 

 

A

他にも7payならではの特徴があったので、みていきましょう。

 

 

チャージ方法が5種類

7payは事前にチャージをすることで、利用できます。

チャージの方法は5種類あり、自分に合ったチャージ方法を選ぶことができます。

 

・セブン-イレブンのレジでチャージ
・セブン銀行のATMからチャージ
・nanacoポイントからチャージ
・クレジットカード
・デビットカードからチャージ
・セブン銀行の口座からチャージ

 

nanacoポイントがたまる&使える

7payで支払うことで、『nanacoポイント』がたまります。

 

 

nanacoポイントとは、1ポイント=1円で使える電子マネーですね。

 

 

セブン&アイグループ各店をはじめとしたnanacoマークのあるお店で、全国約449,000店で利用できます。

 

 

A

そんな7payで購入してたまったnanacoポイントは、7pay内でチャージして使うことができます。

 

 

「バッジ」と「セブンマイル」

セブンイレブンアプリにある「バッジ」と「セブンマイル」はご存知でしょうか。

 

 

どちらも『ランク制度』となっており、ランクによって様々な特典が受けられるサービスです。

 

 

セブン-イレブン、セブン&アイグループの一部商品の購入額に応じてランクが上がります。

 

 

特典はおにぎり〇〇円引きクーポンや、nanacoポイントプレゼントなど、セブンイレブンをよく利用する方にとって嬉しい内容となっていますね。

 

 

A

これらのバッジとセブンマイルが、7payで支払うことで自動的にたまります。

 

 

7payは4日間で何が起こったのか

「便利」で「お得」と期待された7payでしたが、サービス開始からわずか4日目で

・新規登録
・全てのチャージサービス

 

A

上記2点を一時停止という最悪なスタートとなってしまいました。

 

 

「一体何が起こったのか」

 

 

その一連の流れをみていきましょう。

 

 

7pay不正アクセス一連の流れ

【7月1日】

株式会社セブン・ペイより満を持してQRコード決済「7pay」のサービス開始

 

 

【7月2日】

夕方、7payを利用する方より「身に覚えのない取引があったようだ」とのお問い合わせがあった。

 

その後、不正利用の被害が相次ぐ。

 

 

【7月3日】

お問い合わせより、社内調査を実施した結果『不正アクセス』が発覚した。

・お客様サポートセンター。緊急ダイヤルを設置
・7pay ホームページの「重要なお知らせ」に ID・パスワード管理の 注意喚起を掲載。
・クレジットカードおよびデビットカードによるチャージを停止。

 

【7月4日】

セブン&アイ・ホールディングスが緊急記者会見を開く。株式会社セブン・ペイの小林強社長らが謝罪。

 

 

記者の「二段階認証をしなかった理由は?」という質問に対し「二段階認証…?」と社長の発言。

 

 

A

社長が「『二段階認証』について知らなかったのでは?」と、SNSで物議を醸している。

 

 

不正アクセスって実際どういうもの?

「SNSにログインできなくなってしまった」

 

 

「オンラインゲームをしようと思ったら、いつの間にかアイテムが無くなっている」

 

 

上記のようなケースに遭遇した経験がある方。

 

 

A

それは、不正アクセスであった可能性が高いです。

不正アクセスとは、

 

”本来アクセス権限を持たない第三者が、何らかの方法を使ってアクセスすること”です。

 

つまり、SNSのパスワードを勝手に変えたり、オンラインゲームのアイテムを勝手に売ったりすることができるのですね。

 

 

SNSやオンラインゲームへの不正アクセスは、もちろん避けたいところです。

 

 

しかし今回のような「決済サービス」となるともっと恐ろしいことになります。

 

 

決済サービスに不正アクセス

「あれ?身に覚えのない取引…なんでだろう」

 

 

A

実は決済サービスに不正アクセスがあると、勝手にお金を使われてしまう可能性があります。

 

 

SNSやオンラインゲームの不正アクセスよりもっと怖いですよね。

 

 

そして、今回起こった7payのケースがその事例です。

 

 

①Aさんが、7payに登録&クレジットカード・デビットカードからチャージ。

 

②Bさん(第三者)が不正アクセス。

 

③Bさんがアクセスすると、クレジットカード・デビットカードの情報が記憶されていた。

 

=Bさんは、Aさんのクレジットカード・デビットカードで上限までチャージ&お買い物

 

 

A

結果的にAさんの知らない間に、Bさんによるクレジットカードの引き落としがあったのです。

 

 

ちなみにLINE乗っ取り詐欺も同じ

およそ数年前に、「今忙しいですか?」と友達からLINEが来て「Webmoney買ってきてくれない?」

 

 

と頼まれた人はいないでしょうか。

 

 

実際に、買ってコードを教えると音信不通になってしまう。

 

 

あれも、不正アクセスになります。

友達のアカウントを第三者が乗っ取り、悪事を働いていまいた。最近でも稀に見受けられるようなので、引っかからないよう注意しましょう。

 

 

7payのセキュリティは完璧だったのか

さて、なぜ7payは不正アクセスを許したのでしょうか。

 

 

「サービス開始前にセキュリティー審査を行っている。」

 

 

「システムの脆弱性(セキュリティ上の問題点)は指摘されていない。」

 

 

記者会見では上記のように語られていましたが、本当に不備はなかったのでしょうか。

 

 

パスワードリセットに問題点

A

不正アクセスの原因についてセブン・ペイは「調査中」としています。

 

しかし、SNS上では原因が追求されており、不正アクセスの多くの原因として下記の「パスワードリセット機能」が話題となっていました。

 

https://twitter.com/miettal/status/1146563733998596101

 

7payのパスワードリセット機能は、第三者がユーザーの

・会員ID(メールアドレス)
・生年月日

 

を知っているだけで、パスワードの再設定ができる仕様だったそうです。

 

 

A

これが、真実ならばあまりにも杜撰なセキュリティ管理です。

 

 

また、生年月日は入力必須項目となっておらず、入力しなかった場合はデフォルトで2019年01月01日生まれになったみたいです。

 

 

A

つまり、第三者がユーザーの『メールアドレス』を知っているだけで、不正アクセスが可能だったのかもしれません。

 

 

二段階認証とは

二段階認証はIDやパスワードに加えて、別の方法で本人確認を行うことで、セキュリティをより強固にするサービスです。

 

 

たとえば、二段階認証に「SMS認証」があります。

 

 

ID、パスワードに加えSMSに届く数桁の数字を入力できなれけば、ログインできない仕組みになっています。

 

 

A

SMS認証は、ログイン時に毎回求められる場合が多いので「携帯を取られない限り、不正アクセスされない」と考えると、セキュリティは非常に強固になりますね。

 

 

SNSの声

この二段階認証について、

 

・なぜ導入しなかったのか

・社長が知らなかったとは…

 

 

といった声がSNSでみられました。

 

 

A

特に社長が二段階認証について知らなかったことについては、プチ炎上となっています。

 

 

https://twitter.com/KiokuNoKiroku/status/1146234970236542976
https://twitter.com/fakecomponents/status/1146408740750413824

 

実際の記者会見での様子。

https://twitter.com/poon_onisan/status/1146677501810229248

7payの被害者数および補償について

被害者数、被害総額および補償はいったいどうなるのか?

 

 

サービス開始からわずか4日。

 

 

どれほどの被害者、被害総額になったのでしょうか。

 

 

また、補償はいったいどうなるのか。気になる点についてみていきましょう。

 

 

被害者数と被害総額

7pay不正アクセスの被害者は約900人、被害総額5,500万円となっています(7月4日時点)。

 

 

A

しかし、登録者は約150万人とされるので今後も被害の拡大が予想されます。

 

 

補償について

「本件で被害にあわれたお客さまには全ての被害に関して補償行う」

 

 

A

補償については、記者会見で上記のように申し上げているので被害者にとっては一安心ですね。

 

 

とはいっても、原因がセキュリティの不備とされているので補償は当然の結果でしょうか。

 

 

なにがともあれ、被害に遭われた方にスムーズに補償が行われるといいのですが。

 

 

今後の7payは?

「サービスは停止しない」

 

 

A

現在7pay自体の利用はしていません。すでに、チャージしている分の決済は行えるみたいです。

 

 

また『新規登録』や『全てのチャージサービス』については一時停止となっていますが、「さらなる安全対策に万全の体制で取り組む」と、今後もサービス継続するとしています。

 

 

犯人が逮捕

警視庁は7月4日に詐欺未遂の疑いで”中国籍の男2人“を逮捕しました。

 

 

セブン-イレブン店舗から、7payの不正使用によって「たばこ20万円相当」を購入したようです。

 

 

SNSでは早くも話題となっており、『受け子ではないのか?』と考えられています。

 

 

https://twitter.com/DtHIAGVZQ4xsoV3/status/1146779703954440192

また、警察も「組織的な事件とみて実態解明を進める方針」としています。

 

 

A

さらに不正アクセスの大部分が海外IPからだったということもあり、国際的な犯罪組織の可能性もあるようです。

 

 

いずれにしても、わずか4日間でこれだけの被害総額が出ているとなると、「計画的」、「組織的」な犯行の可能性が高そうですね。

 

 

まとめ

・不正アクセスの原因

・被害者へのスムーズでスピーディーな補償

・組織的犯罪集団の可能性

 

 

上記3点については不透明なままです。

 

 

今後もチェックしていきたいですね。

COMMENT

メールアドレスが公開されることはありません。 が付いている欄は必須項目です