【7pay】7pay不正アクセス。たった4日間で何が起きたのか？時系列でまとめました。

【PR】

「19万円のクレジットカード引き落とし。しかし、身に覚えがない…」

まさに、いつの間にか”お金が消える”という恐怖…。

こんなこと、「セキュリティ対策が『完璧に』施されたであろう令和時代には、関係ない話」と思いますよね。

しかし残念ながら、実際は違うようです。

先日7pay（セブンペイ）という決済サービスで、不正アクセスの被害が起きました。

被害総額はたったの4日間で、5500万円に上ります。

いったいなぜこんなことが起こったのでしょうか？

この記事を読むことで、7payのサービスから一連の流れ、事件の犯人まで全て分かります。

7payとは

7pay（セブンペイ）は新しい「QRコード決済」のサービスです。

7月1日、セブン＆アイ・ホールディングスのグループ、「株式会社セブン・ペイ」よりサービスをスタートしました。

すでに登録者数は約150万人とされています。

全国のセブン-イレブンでお手軽に利用可能な、QRコード決済の7pay。

まずは、QRコード決済と、7payの特徴についてみていきましょう。

QRコード決済

「レジで現金を出すのが面倒で手間だと感じる」

QRコード決済は、上記のような方にピッタリなサービスです。

スマホに表示されたQRコードを店員に見せ、バーコードリーダーで「ピッ！」としてもらうだけで決済が完了します。

まさに、『スマホ一つで決済できる』話題の決済方法です。

7pay以外にも

・PayPay
・メルペイ
・LINE Pay

といったQRコード決済サービスがあります。

「CMで最近よくみる」という方も多いのではないでしょうか。

来年の東京オリンピックに向け、日本社会に急速に普及している決済サービス。それが、QRコード決済です。

7payの特徴

「カンタン登録　最短2タップでスタート！」

セブン-イレブンの国内店舗数は20,973店（2019年6月末時点）。

そんな、全国のセブン-イレブンで手軽に使える7pay。

他にも7payならではの特徴があったので、みていきましょう。

チャージ方法が5種類

7payは事前にチャージをすることで、利用できます。

チャージの方法は5種類あり、自分に合ったチャージ方法を選ぶことができます。

・セブン-イレブンのレジでチャージ
・セブン銀行のATMからチャージ
・nanacoポイントからチャージ
・クレジットカード
・デビットカードからチャージ
・セブン銀行の口座からチャージ

nanacoポイントがたまる＆使える

7payで支払うことで、『nanacoポイント』がたまります。

nanacoポイントとは、1ポイント=1円で使える電子マネーですね。

セブン＆アイグループ各店をはじめとしたnanacoマークのあるお店で、全国約449,000店で利用できます。

そんな7payで購入してたまったnanacoポイントは、7pay内でチャージして使うことができます。

「バッジ」と「セブンマイル」

セブンイレブンアプリにある「バッジ」と「セブンマイル」はご存知でしょうか。

どちらも『ランク制度』となっており、ランクによって様々な特典が受けられるサービスです。

セブン-イレブン、セブン＆アイグループの一部商品の購入額に応じてランクが上がります。

特典はおにぎり〇〇円引きクーポンや、nanacoポイントプレゼントなど、セブンイレブンをよく利用する方にとって嬉しい内容となっていますね。

これらのバッジとセブンマイルが、7payで支払うことで自動的にたまります。

7payは4日間で何が起こったのか

「便利」で「お得」と期待された7payでしたが、サービス開始からわずか4日目で

・新規登録
・全てのチャージサービス

上記2点を一時停止という最悪なスタートとなってしまいました。

「一体何が起こったのか」

その一連の流れをみていきましょう。

7pay不正アクセス一連の流れ

【7月1日】

株式会社セブン・ペイより満を持してQRコード決済「7pay」のサービス開始

【7月2日】

夕方、7payを利用する方より「身に覚えのない取引があったようだ」とのお問い合わせがあった。

その後、不正利用の被害が相次ぐ。

【7月3日】

お問い合わせより、社内調査を実施した結果『不正アクセス』が発覚した。

・お客様サポートセンター。緊急ダイヤルを設置
・7pay ホームページの「重要なお知らせ」に ID・パスワード管理の注意喚起を掲載。
・クレジットカードおよびデビットカードによるチャージを停止。

【7月4日】

セブン＆アイ・ホールディングスが緊急記者会見を開く。株式会社セブン・ペイの小林強社長らが謝罪。

記者の「二段階認証をしなかった理由は？」という質問に対し「二段階認証…？」と社長の発言。

社長が「『二段階認証』について知らなかったのでは？」と、SNSで物議を醸している。

不正アクセスって実際どういうもの？

「SNSにログインできなくなってしまった」

「オンラインゲームをしようと思ったら、いつの間にかアイテムが無くなっている」

上記のようなケースに遭遇した経験がある方。

それは、不正アクセスであった可能性が高いです。

不正アクセスとは、

”本来アクセス権限を持たない第三者が、何らかの方法を使ってアクセスすること”です。

つまり、SNSのパスワードを勝手に変えたり、オンラインゲームのアイテムを勝手に売ったりすることができるのですね。

SNSやオンラインゲームへの不正アクセスは、もちろん避けたいところです。

しかし今回のような「決済サービス」となるともっと恐ろしいことになります。

決済サービスに不正アクセス

「あれ？身に覚えのない取引…なんでだろう」

実は決済サービスに不正アクセスがあると、勝手にお金を使われてしまう可能性があります。

SNSやオンラインゲームの不正アクセスよりもっと怖いですよね。

そして、今回起こった7payのケースがその事例です。

①Aさんが、7payに登録＆クレジットカード・デビットカードからチャージ。

②Bさん（第三者）が不正アクセス。

③Bさんがアクセスすると、クレジットカード・デビットカードの情報が記憶されていた。

＝Bさんは、Aさんのクレジットカード・デビットカードで上限までチャージ＆お買い物

結果的にAさんの知らない間に、Bさんによるクレジットカードの引き落としがあったのです。

ちなみにLINE乗っ取り詐欺も同じ

およそ数年前に、「今忙しいですか？」と友達からLINEが来て「Webmoney買ってきてくれない？」

と頼まれた人はいないでしょうか。

実際に、買ってコードを教えると音信不通になってしまう。

あれも、不正アクセスになります。

友達のアカウントを第三者が乗っ取り、悪事を働いていまいた。最近でも稀に見受けられるようなので、引っかからないよう注意しましょう。

7payのセキュリティは完璧だったのか

さて、なぜ7payは不正アクセスを許したのでしょうか。

「サービス開始前にセキュリティー審査を行っている。」

「システムの脆弱性（セキュリティ上の問題点）は指摘されていない。」

記者会見では上記のように語られていましたが、本当に不備はなかったのでしょうか。

パスワードリセットに問題点

A

不正アクセスの原因についてセブン・ペイは「調査中」としています。

しかし、SNS上では原因が追求されており、不正アクセスの多くの原因として下記の「パスワードリセット機能」が話題となっていました。

#7pay のログインアカウントであるomni7のパスワードリセット機能、生年月日と元のメアドが分かれば攻撃者のメールアドレスからパスワードリセットかけられる仕様になってますね。
ただ現時点ではパスワードリセットメールが飛んでこないので何らかの対応がなされている可能性があります。 https://t.co/2PkHOywbxV pic.twitter.com/wO2hrzrp9K

— shao as a service (@shao1555) July 3, 2019

https://twitter.com/miettal/status/1146563733998596101

7payのパスワードリセット機能は、第三者がユーザーの

・会員ID（メールアドレス）
・生年月日

を知っているだけで、パスワードの再設定ができる仕様だったそうです。

これが、真実ならばあまりにも杜撰なセキュリティ管理です。

また、生年月日は入力必須項目となっておらず、入力しなかった場合はデフォルトで2019年01月01日生まれになったみたいです。

つまり、第三者がユーザーの『メールアドレス』を知っているだけで、不正アクセスが可能だったのかもしれません。

二段階認証とは

二段階認証はIDやパスワードに加えて、別の方法で本人確認を行うことで、セキュリティをより強固にするサービスです。

たとえば、二段階認証に「SMS認証」があります。

ID、パスワードに加えSMSに届く数桁の数字を入力できなれけば、ログインできない仕組みになっています。

SMS認証は、ログイン時に毎回求められる場合が多いので「携帯を取られない限り、不正アクセスされない」と考えると、セキュリティは非常に強固になりますね。

SNSの声

この二段階認証について、

・なぜ導入しなかったのか

・社長が知らなかったとは…

といった声がSNSでみられました。

特に社長が二段階認証について知らなかったことについては、プチ炎上となっています。

https://twitter.com/KiokuNoKiroku/status/1146234970236542976
https://twitter.com/fakecomponents/status/1146408740750413824

実際の記者会見での様子。

https://twitter.com/poon_onisan/status/1146677501810229248

7payの被害者数および補償について

「被害者数、被害総額および補償はいったいどうなるのか？」

サービス開始からわずか4日。

どれほどの被害者、被害総額になったのでしょうか。

また、補償はいったいどうなるのか。気になる点についてみていきましょう。

被害者数と被害総額

7pay不正アクセスの被害者は約900人、被害総額5,500万円となっています（7月4日時点）。

しかし、登録者は約150万人とされるので今後も被害の拡大が予想されます。

７payアカウント乗っ取り被害に会いました。
昨日利用登録及び決済クレジットカード情報登録した後５０００円チャージした「７pay」で、今朝８時０１分から０８時４０分の間に、合計６回、１９万円のクレジットカードからの不正チャージと、直後に東京都内で合計２回の高額決済が行われた。

— Tack C. Mizoguchi (@ttack1122) July 3, 2019

7payで不正利用発生！

クレジットで計18万円チャージされ
内、９万円がセブンイレブンJR錦糸町駅前店で使われる！

クレジット会社への連絡→済。担当者からの折り返し待ち
7payのパスワード変更→済。
クレジットカードの紐付け解除→済。
7pay運営への電話→つながらず。メール送信済み。

— ぬのびき@2023年４月から平JGC！ (@nuno_chann) July 3, 2019

補償について

「本件で被害にあわれたお客さまには全ての被害に関して補償行う」

補償については、記者会見で上記のように申し上げているので被害者にとっては一安心ですね。

とはいっても、原因がセキュリティの不備とされているので補償は当然の結果でしょうか。

なにがともあれ、被害に遭われた方にスムーズに補償が行われるといいのですが。

今後の7payは？

「サービスは停止しない」

現在7pay自体の利用はしていません。すでに、チャージしている分の決済は行えるみたいです。

また『新規登録』や『全てのチャージサービス』については一時停止となっていますが、「さらなる安全対策に万全の体制で取り組む」と、今後もサービス継続するとしています。

犯人が逮捕

警視庁は7月4日に詐欺未遂の疑いで”中国籍の男2人“を逮捕しました。

セブン-イレブン店舗から、7payの不正使用によって「たばこ20万円相当」を購入したようです。

SNSでは早くも話題となっており、『受け子ではないのか？』と考えられています。

7pay不正利用受け子みたいなのが逮捕された
指示役の男からパスワードやID教えてもらってたって
すごいな pic.twitter.com/5fyw5784YT

— sahona.imori (@sahonachaaaaan) July 4, 2019

https://twitter.com/DtHIAGVZQ4xsoV3/status/1146779703954440192

また、警察も「組織的な事件とみて実態解明を進める方針」としています。

さらに不正アクセスの大部分が海外IPからだったということもあり、国際的な犯罪組織の可能性もあるようです。

いずれにしても、わずか4日間でこれだけの被害総額が出ているとなると、「計画的」、「組織的」な犯行の可能性が高そうですね。

まとめ

・不正アクセスの原因

・被害者へのスムーズでスピーディーな補償

・組織的犯罪集団の可能性

上記3点については不透明なままです。

今後もチェックしていきたいですね。

【7pay】7pay不正アクセス。たった4日間で何が起きたのか？時系列でまとめました。