セブンイレブン新スマホ決済サービス【７ｐaｙ（セブンペイ）】不正アクセス事件の詳細・時系列・まとめ

7月1日よりリリースが開始されたセブンイレブンの新決済サービス【７ｐaｙ】に不正アクセス問題が起こりました。

７ｐaｙとはスマホアプリで、アプリを起動して表示されたバーコードを会計のときに読み取ってもらうことで支払いが完了する、今流行りの【キャッシュレスアプリ】です。

アプリ内で自身のクレジットカード情報を紐づけることができて、アプリ内で簡単に【チャージ】することができるので、財布をもたなくても買い物が可能となる大変便利なツールです。

200円使うごとに1nanacoポイント（１円）が貯まります。

この還元率は0.5％なのでそれほど高くはないですが、今後他の「～PAY」に対抗してさまざまなキャンペーンを実施してくるでしょう。

また、アプリ内でお得なクーポンを配布するようなので、やってみて損はないので、7月1日には多くの人がアプリをダウンロードしてセブンペイをはじめました。

 

しかし、アプリリリースからわずか４日で大問題が起こりました。

 

アプリ不正利用です。

 

実際に起きたのはこうです。

誰か勝手にＩＤを使われて別端末でログインをされます。

そして、クレジットカードから高額チャージをされて、セブンイレブンで買い物をされるという被害です。

のべ、900人が被害に合い、被害総額は5500万円にものぼるそうです。

ひとりあたり5000円程度ですね。

原因については、セブンイレブン側は調査中とコメントをしていますが、おそらくパスワードリセットのやり方に問題がある可能性が高いようです。

セブンペイでは、利用者がパスワードを忘れた場合にパスワードをリセットする機能が搭載されていますが、「生年月日」「電話番号」「ＩＤ（メールアドレス）」があれば、リセットが可能な仕様でした。

つまり、第３者にこれらの情報が知られていて、セブンペイを利用していたならば、パスワードをリセットされて、新しいパスワードに変更されて乗っ取られる可能性があったということです。

 

 

よく考えてほしいのですが。

これくらいの情報なんて、親しい知人レベルであれば知っていますよね。

友達の生年月日と電話番号とメアドなんて皆何人も知っていると思います。

本人が漏らさなくても、その情報を第３者に盗まれたら簡単に悪用できてしまうわけです。

まだ、はっきりとした原因は分かりませんが、これはセブンイレブンがお粗末すぎると言わざるを得ません。

ちなみに、被害に合った人への補償はすべてセブンイレブンがすると即日発表していましたので、この対応はさすがだと思います。

続報を待ちますが、今後は開始されたばかりの決済サービスはすぐに利用せずに様子をみてから始めたほうがいいかもしれませんね。

 

追記：2019年7月6日

今回の事件は中国の犯罪組織が関わっている可能性が浮上しました。

7月5日中国籍の張升容疑者（２２）＝詐欺未遂の疑いで逮捕されました。

取り調べでは張升容疑者は「電子タバコ１カートンあたり３００円支払うとＳＮＳで指示されていた」と証言しています。

７、８人分のＩＤとパスワードを使用していたことも判明していて、決済された電子タバコは計１４６カートン（総額７３万円）にのぼると警視庁新宿署への取材で分かっています。

また、運転手役のワン・ユンフェイ容疑者（２５）も同容疑で逮捕されました。

車の運転役で1万5000円の報酬を支払うと連絡を受けていたということです。

今回逮捕された２人はいずれも実行役です。

指示したとされる首謀者が別にいることは確実です。

中国の組織犯罪の可能性が高いということですので、計画的な犯行ですねー。

前にもＡＴＭ不正引き出し事件がありましたが、こういう事件は今後も起こるでしょう。

 

追記：2019年7月15日

○セブンペイ不正アクセス事件で３人目の逮捕者。

警視庁に窃盗容疑で逮捕されたのは、またもや中国籍で21歳の女。

専門学校生のユーフイリン容疑者（東京都豊島区）です。

「ＳＮＳで友人に誘われた」と供述しているようです。

ユー容疑者は神田のセブンイレブンのアルバイトとして勤務している最中に、他人名義のＩＤとパスワードでセブンペイにログインして、電子たばこなど15点（約3万2000円）を不正購入した疑いがあり、容疑を認めています。

１人目と２人目との共通点として、ＳＮＳで誘われていることから、中国の犯罪グループが組織的にＳＮＳで実行役を集めたとみて間違いないでしょう。

スポンサードリンク

 

○セブンペイの不備が続々判明

セブンペイに搭載されている外部ＩＤによる利用に不備がみつかった。

これは「フェイスブック」や「ＬＩＮＥ」などのＩＤを使ってログインできるように設定されている機能だが、外部ＩＤから接続するシステムに欠陥が存在する可能性があるとして、7月11日に外部ＩＤからの利用が一時停止された。

もともとは登録の手間を省いて、利便性を高める機能として搭載していたが、専門家からの指摘では、独自ＩＤよりも外部ＩＤのほうが不正アクセスされやすいようだ。

 

○入金認証パスワードをなりすませば他人でも変更可能だったことが判明

クレジットカードから入金する際に必要となるのが「認証パスワード」だが、これが第２者が勝手に変更できる設定となっていた。

セブンペイは、ＩＤとパスワードでログインしたあと、登録したクレジットカードからチャージ（入金）して、その残高から買い物ができる仕組みだ。

入金する際に必要なのが、ログイン用パスワードとは別の「認証パスワード」を入力する必要がある。

だが、この認証パスワードは問い合わせ画面で、パスワードを忘れたと伝えれば、オペレーターとのメッセージチャットで簡単に変更手続きができてしまう設定となっていた。

利用者の利便性を考えて、簡単にパスワード変更に対応していたが、仇となり不正利用者に狙われることとなった。

 

○半年前の仕様変更が影響？

セブンペイの不正アクセス問題では、セキュリティの甘さが随所にでているが、この原因としてアプリ開発がサービス開始の半年前に仕様が大きく変わったことが挙げられている。

7月1日のサービス開始まで半年の段階で。アプリの内容あが大きく変更になったにも関わらず、サービス開始時期は見直されることはなかった。

結果、安全対策の不備につながった可能性が指摘されている。

ライバルのファミリーマートが「ファミペイ」を7月1日から予定していたので、遅れをとるわけにはいかなかったのか、いずれにせよ利便性を求めるあまりに安全性が疎かになったのは間違いなさそうだ。