セブンペイにて、不正アクセス問題により被害が発生した。そして、サービス開始後1カ月で廃止が決定された。セブンイレブンは、QRコード決済に関しては導入が遅く、体制を整えて、しっかり条件が整ってから、セブンイレブン全店舗導入及び、同時に『7pay』に加え『PayPay』、『メルペイ』、『LINE Pay』の国内3社および『アリペイ(Alipay)』、『WeChat Pay(微信支付)』の海外2社を加えた5社のバーコード決済サービスについてもセブン‐イレブン店舗での利用としたと思っていた。
コンビニとして最後発であっても、時間をかけ完璧な準備をして導入するんだな、さすがセブンイレブンと思っていたのだが、その期待は あっさりと裏切られた。今回のニュースを聞いた際は、正直、びっくりした。あのコンビニの雄、セブンイレブンが不祥事とは。それだけ、セブンイレブンのことは、1消費者として信頼していた。とても残念。
セブンイレブン側としては、早々の幕引きを図りたいのだと思われるが、この件が、スマホキャッシュレス決済全体への消費者の不信感につながることを一番恐れる。PayPayの導入時も不正利用の問題などはあったが、セキュリティー向上への取り組みを繰り返して今に至っている。ただ、今回のセブンペイは、もともとの設計自体があまりにセキュリティー的におそまつだった。(2段階認証の導入をしなかった点など)期待するのは難しいが、今回の事案については、可能な限り情報の公開を行い、社会全体でその経験を共有する努力をしてほしい。
最後に、全会員の7iDパスワードリセットがなされた件(筆者もその対象者の1人だが)で、再設定方法を記載しました。(再度、新規のパスワードを設定するだけではありますが)
目次
- 1 「7pay(セブンペイ)」 サービス廃止
- 2 7pay のサービスに関わる経緯
- 3 7pay被害状況
- 4 被害者への対応(サポートセンター) 補償は8月19日より順次
- 5 不正アクセスの手口
- 6 不正アクセスの原因(なぜ防ぐことができなかったのか?) 二要素認証、2段階認証、複数端末
- 7 今後の安全確保(7iD のパスワードリセットの実施)
- 8 キャッシュレス化への対応、取り組みについて
- 9 8月1日セブン&アイ・ホールディングスの会見にて
- 10 キャッシュレス決済のポイント還元制度について「7Pay」は、参加申請辞退へ
- 11 7iDパスワードリセットによる、パスワード再設定。
- 12 セブンペイ残高は、使ってしまわないと、払い戻しが必要
- 13 24時間サポートのようです。
「7pay(セブンペイ)」 サービス廃止
セブンイレブン側の発表によると、
(1)7pay について、チャージを含めて全てのサービスを再開するに足る抜本的な対応を完了するには相応の期間を必要
とすると想定されること
(2)その間、サービスを継続するとすれば「利用(支払)のみ」、という不完全な形とせざるを得ないこと、
(3)当該サービスに関し、お客様は依然としてご不安をお持ちであること
の3点から、現在の 7pay のサービススキームに基づきサービス提供を継続することは困難であるという結論に至ったと説明。
このため、9 月 30 日(月)24:00 をもって 7pay のサービスを廃止することとしたと発表。
7pay のサービスに関わる経緯
| 7 月 1 日(月) | サービス開始(セブン‐イレブンアプリ上に搭載) |
| 7 月 2 日(火) | お客様より「身に覚えのない取引があった」旨のお問合せをいただく |
| 7 月 3 日(水) | 各社ホームページへ「重要なお知らせ」を掲載 海外 IP からのアクセスを遮断 クレジット/デビットカードからのチャージ利用を停止 |
| 7 月 4 日(木) | 店舗レジ/セブン銀行 ATM からの現金チャージ利用を停止 新規会員登録を停止 |
| 7 月 5 日(金) | 「セキュリティ対策プロジェクト」の設置 |
| 7 月 6 日(土) | モニタリング体制の強化 |
| 7 月 11 日(木) | 外部 ID によるログイン停止 |
| 7 月 30 日(火) | 7iD のパスワードリセットの実施 |
| 8 月 1日(木) | サービス廃止を決定 |
| 9 月 30 日(月) | サービス廃止(予定) |
7pay被害状況
808 人 / 38,615,473 円(7 月 31 日 17:00 現在)
※なお、7 月中旬以降、新たな被害は確認されておりません。(2019年8月1日発表)
およそ150万人の登録者がいた。
不正チャージおよび不正利用の双方を含んでおり、個別には、以下の方法で把握し、認定を行っている。
・お客様より直接お問合せ、照会をいただいた場合の相互確認による認定
・カード会社からの情報連携による認定
・不正被害発生パターン同様の利用が確認されるケースの独自認定
被害者への対応(サポートセンター) 補償は8月19日より順次
不正チャージおよび不正利用のいずれかに拘らず被害金額のすべてを補償いたします。
まだご連絡をいただいていないお客様は、7pay お客様サポートセンター緊急ダイヤル
(0120-192-044 24 時間・年中無休)までお問合せください。
不正チャージによる被害
・ご自身が登録されたクレジットカードから「身に覚えのない」チャージ被害に遭われた方につきましては、各カード発行会社の協力をいただきつつ、お客様のカードお支払日
までに当該チャージ分のお引き落としがかからないよう、順次 7pay にて対応を進めております。念のため、お客様のお手元に届くカード会社からのご利用代金明細、および
銀行口座からの引き落とし状況をご確認くださいますよう、お願いいたします。
また、支払日までに対応が間に合わず、引き落とされた場合も、翌月以降、お引き落とし口座で確実に精算させていただきます。
なお、カード会社からのご利用代金明細書において、万が一「身に覚えのない」チャージ取引がございましたら、各カード会社までご一報いただきますよう、改めて
お願いいたします。(その後、各社と 7pay にて調整の上、対応いたします)
・ご自身が登録されたデビットカードから「身に覚えのない」チャージ被害に遭われた方につきましては、デビットカードのブランド各社の協力をいただきつつ、お客様の口座
への被害額の払い戻しを順次進めております。
なお、デビットカードのご利用明細書において、万が一「身に覚えのない」チャージ取引がございましたら、デビットカードのブランド各社までご一報いただきますよう、
改めてお願いいたします。(その後、各社と 7pay にて調整の上、対応いたします)
・nanaco ポイントからの「身に覚えのない」チャージ被害に遭われた方のうち、既にご連絡先等をいただいているお客様につきましては、8 月 19 日(月)より順次、補償
手続きについて個別にご案内いたします。なお、nanaco ポイントからの「身に覚えのない」チャージ被害に遭われた方のうち、まだご連絡いただいていないお客様は、7pay
お客様サポートセンター緊急ダイヤル(0120-192-044 24 時間・年中無休)までお問合せください
不正利用による被害
・ご自身がチャージした 7pay 残高を、第三者に利用される被害に遭われた方のうち、既にご連絡先等をいただいているお客様につきましては、8 月 19 日(月)より順次、補償
手続きについて個別にご案内いたします。なお、ご自身がチャージした 7pay 残高を、第三者に利用される被害に遭われた方のうち、まだご連絡いただいていないお客様は、
7pay お客様サポートセンター緊急ダイヤル(0120-192-044 24 時間・年中無休)までお問合せください。
不正アクセスの手口
本事案については、捜査当局による捜査が引続き行われておりますが、外部情報セキュリティ会社と連携した「セキュリティ対策プロジェクト」の調査では、今回の原因について、「攻撃者がどこかで不正に入手した ID・パスワードのリストを用い、7pay の利用者になりすましつつ、不正アクセスを試みる、いわゆる『リスト型アカウントハッキング』である可能性が高い」との結論に至りました。
一方で、同じく「セキュリティ対策プロジェクト」では、「現時点で、外部 ID 連携・パスワードリマインダー、有人チャットによるパスワードリセット等の機能が、不正アクセスの直接の原因となった事例は見つかっておらず、内部からの流出についても、実査も含め、確認調査を行ったが、明確な流出の痕跡は確認できない」との結果を取り纏めております。
不正アクセスの原因(なぜ防ぐことができなかったのか?) 二要素認証、2段階認証、複数端末
『リスト型アカウントハッキング』の可能性が高いと認識する一方で、こうした手口による犯行を防ぐことができなかった理由として 3 つの要因をあげた。
- 7pay に関わるシステム上の認証レベル
開発当初より様々な観点から議論、検証を進めたものの、最終的に「複数端末からのログインに対する対策」や「二要素認証等の追加認証の検討」が十分でなく、『リスト型アカウントハッキング』に対する防御力を弱めた。 - 7pay の開発体制
7pay のシステムの開発には、グループ各社が参加しておりましたが、システム全体の最適化を十分に検証できていなかった点が今回の事案を引き起こした原因の 1 つではないかと認識しており、この点について、今後、更なる検証が必要と考えている。 - 7pay におけるシステムリスク管理体制
セブン・ペイにおける、リスク管理上、相互検証、相互牽制の仕組みが十分に機能していたか、今後更なる検証が必要と考えている。
今後の安全確保(7iD のパスワードリセットの実施)
「セキュリティ対策プロジェクト」において、「セブン-イレブンアプリや 7pay を利用するためのグループ共通の ID である 7iD に関連する個人情報については、明確な漏洩の痕跡は認められない」ことを確認しておりますが、お客様に当社グループの 7iD と紐づいた様々なサービスを、引き続き安心してご利用いただくため、7 月 30 日(火)に 7iD のパスワードリセットを一斉に実施いたしました。今回の事案に関連し、ID・パスワードが不正に取得されていたとしても、このリセットにより、リスクを極小化することが出来ると考えております。
キャッシュレス化への対応、取り組みについて
2001 年には、セブン銀行の ATM サービスをスタートさせ、続けてクレジットカード事業に参入、2007 年には、電子マネーnanaco のサービスを開始しました。
そして、昨今のキャッシュレス化に対する社会ニーズの高まりと、バーコード、QR コード決済の普及を踏まえ、お客様へのサービス機能を高める取り組みの一環としてスタートしたのが、当社グループ独自のバーコード決済サービスである 7pay です。
今般、7pay のサービスが大規模な不正アクセス攻撃を受けることとなった事態を真摯に受け止め、当該サービスの廃止を決定いたしましたが、キャッシュレス化への社会的ニーズはきわめて高く、そのニーズへの対応は今後ますます重要性を増していくと考えております。このため、当社グループでは、グループ外部の様々な決済サービスとの連携を積極的に推進することで、こうした社会の要請にしっかり応えつつ、より広範なお客様にキャッシュレスサービスを提供してまいりたいと考えております。
8月1日セブン&アイ・ホールディングスの会見にて
関係者の皆様に心よりお詫び申し上げます。スマホ決済への信頼を失わせたことに対して、株式会社セブン&アイ・ホールディングス 後藤(副社長)氏が陳謝、9月30日をもって「7Pay」サービスの廃止を発表した。
2段階認証の導入をしなかった理由に関しては、入り口の敷居が多少低くてても、あとでしっかり守れるのではないかと考えたと会見にて答えている。今回の事態を受けて、その判断は適当ではなかったとしている。
また、新たにセキュリティーを抜本的に見直すというシステム改修、開発に取り組むと相応の時間がかかる。廃止やむなしという判断に至ったと発言。
キャッシュレス決済のポイント還元制度について「7Pay」は、参加申請辞退へ
今年10月の消費税の引き上げに合わせた景気対策として、キャッシュレス決済の利用でポイント還元がされる制度がはじまるが、セブンペイは、参加申請を辞退すると発表した。
7iDパスワードリセットによる、パスワード再設定。
セブンイレブンのアプリを起動すると、この画面がでます。
「パスワード設定の方はこちら」を選ぶ。
筆者は、7iDで登録していたので、「7iDでご登録の方はこちら」を選ぶ。
7iD(メールアドレスまたは任意の文字列)を入力
パスワード忘れ、再設定の画面がでるので、生年月日、電話番号、7iDを入力する。
画像認証で、画像に表示されている英数字を半角で入力する。
(人間が、ちゃんと入力しているかをみています。)
最後に、「メールを送信する」ボタンを押します。
上記の説明通り、入力内容が登録内容と相違がある場合にはメールは送信されない。
再設定メールが、登録しているメールアドレスに届いたら、そのリンクから、新しいパスワードを登録する。(以前と違うもの)
パスワード再設定が完了された方はこちら を押す
7iDと、今登録した新しいパスワードでログイン。これで、前と同じように使えます。
あとは、
セブンペイ残高は、使ってしまわないと、払い戻しが必要
払い戻しは、とても面倒な感じがするので、セブンペイ残高は使ってしまおうと思う。(という筆者も、まだ使い切っていないが)
24時間サポートのようです。
出典:株式会社セブン&アイ・ホールディングス、株式会社セブン・ペイ