セブンイレブン新スマホ決済サービス【7pay(セブンペイ)】不正アクセス事件の詳細・時系列・まとめ
7月1日よりリリースが開始されたセブンイレブンの新決済サービス【7pay】に不正アクセス問題が起こりました。
7payとはスマホアプリで、アプリを起動して表示されたバーコードを会計のときに読み取ってもらうことで支払いが完了する、今流行りの【キャッシュレスアプリ】です。
アプリ内で自身のクレジットカード情報を紐づけることができて、アプリ内で簡単に【チャージ】することができるので、財布をもたなくても買い物が可能となる大変便利なツールです。
200円使うごとに1nanacoポイント(1円)が貯まります。
この還元率は0.5%なのでそれほど高くはないですが、今後他の「~PAY」に対抗してさまざまなキャンペーンを実施してくるでしょう。
また、アプリ内でお得なクーポンを配布するようなので、やってみて損はないので、7月1日には多くの人がアプリをダウンロードしてセブンペイをはじめました。
しかし、アプリリリースからわずか4日で大問題が起こりました。
アプリ不正利用です。
実際に起きたのはこうです。
誰か勝手にIDを使われて別端末でログインをされます。
そして、クレジットカードから高額チャージをされて、セブンイレブンで買い物をされるという被害です。
のべ、900人が被害に合い、被害総額は5500万円にものぼるそうです。
ひとりあたり5000円程度ですね。
原因については、セブンイレブン側は調査中とコメントをしていますが、おそらくパスワードリセットのやり方に問題がある可能性が高いようです。
セブンペイでは、利用者がパスワードを忘れた場合にパスワードをリセットする機能が搭載されていますが、「生年月日」「電話番号」「ID(メールアドレス)」があれば、リセットが可能な仕様でした。
つまり、第3者にこれらの情報が知られていて、セブンペイを利用していたならば、パスワードをリセットされて、新しいパスワードに変更されて乗っ取られる可能性があったということです。
よく考えてほしいのですが。
これくらいの情報なんて、親しい知人レベルであれば知っていますよね。
友達の生年月日と電話番号とメアドなんて皆何人も知っていると思います。
本人が漏らさなくても、その情報を第3者に盗まれたら簡単に悪用できてしまうわけです。
まだ、はっきりとした原因は分かりませんが、これはセブンイレブンがお粗末すぎると言わざるを得ません。
ちなみに、被害に合った人への補償はすべてセブンイレブンがすると即日発表していましたので、この対応はさすがだと思います。
続報を待ちますが、今後は開始されたばかりの決済サービスはすぐに利用せずに様子をみてから始めたほうがいいかもしれませんね。
追記:2019年7月6日
今回の事件は中国の犯罪組織が関わっている可能性が浮上しました。
7月5日中国籍の張升容疑者(22)=詐欺未遂の疑いで逮捕されました。
取り調べでは張升容疑者は「電子タバコ1カートンあたり300円支払うとSNSで指示されていた」と証言しています。
7、8人分のIDとパスワードを使用していたことも判明していて、決済された電子タバコは計146カートン(総額73万円)にのぼると警視庁新宿署への取材で分かっています。
また、運転手役のワン・ユンフェイ容疑者(25)も同容疑で逮捕されました。
車の運転役で1万5000円の報酬を支払うと連絡を受けていたということです。
今回逮捕された2人はいずれも実行役です。
指示したとされる首謀者が別にいることは確実です。
中国の組織犯罪の可能性が高いということですので、計画的な犯行ですねー。
前にもATM不正引き出し事件がありましたが、こういう事件は今後も起こるでしょう。
追記:2019年7月15日
○セブンペイ不正アクセス事件で3人目の逮捕者。
警視庁に窃盗容疑で逮捕されたのは、またもや中国籍で21歳の女。
専門学校生のユーフイリン容疑者(東京都豊島区)です。
「SNSで友人に誘われた」と供述しているようです。
ユー容疑者は神田のセブンイレブンのアルバイトとして勤務している最中に、他人名義のIDとパスワードでセブンペイにログインして、電子たばこなど15点(約3万2000円)を不正購入した疑いがあり、容疑を認めています。
1人目と2人目との共通点として、SNSで誘われていることから、中国の犯罪グループが組織的にSNSで実行役を集めたとみて間違いないでしょう。
○セブンペイの不備が続々判明
セブンペイに搭載されている外部IDによる利用に不備がみつかった。
これは「フェイスブック」や「LINE」などのIDを使ってログインできるように設定されている機能だが、外部IDから接続するシステムに欠陥が存在する可能性があるとして、7月11日に外部IDからの利用が一時停止された。
もともとは登録の手間を省いて、利便性を高める機能として搭載していたが、専門家からの指摘では、独自IDよりも外部IDのほうが不正アクセスされやすいようだ。
○入金認証パスワードをなりすませば他人でも変更可能だったことが判明
クレジットカードから入金する際に必要となるのが「認証パスワード」だが、これが第2者が勝手に変更できる設定となっていた。
セブンペイは、IDとパスワードでログインしたあと、登録したクレジットカードからチャージ(入金)して、その残高から買い物ができる仕組みだ。
入金する際に必要なのが、ログイン用パスワードとは別の「認証パスワード」を入力する必要がある。
だが、この認証パスワードは問い合わせ画面で、パスワードを忘れたと伝えれば、オペレーターとのメッセージチャットで簡単に変更手続きができてしまう設定となっていた。
利用者の利便性を考えて、簡単にパスワード変更に対応していたが、仇となり不正利用者に狙われることとなった。
○半年前の仕様変更が影響?
セブンペイの不正アクセス問題では、セキュリティの甘さが随所にでているが、この原因としてアプリ開発がサービス開始の半年前に仕様が大きく変わったことが挙げられている。
7月1日のサービス開始まで半年の段階で。アプリの内容あが大きく変更になったにも関わらず、サービス開始時期は見直されることはなかった。
結果、安全対策の不備につながった可能性が指摘されている。
ライバルのファミリーマートが「ファミペイ」を7月1日から予定していたので、遅れをとるわけにはいかなかったのか、いずれにせよ利便性を求めるあまりに安全性が疎かになったのは間違いなさそうだ。
追記:2019年8月14日
○1650万人のパスワードを強制リセット
セブン&アイホールディングスは7月30日に、会員向けのインターネットサービスを利用する際に必要となる共通ID「セブンID」のパスワードを強制的にリセットした。
これは、セブンペイの不正利用に対する安全性強化策の一環として新しいパスワードを設定しないと同社のインターネットサービスを利用できなくするもの。
イトーヨーカードやそごう・西武などグループ会社でも利用できるので対象会員は1650万人と異例の規模となった。
従来は8文字以上で構成すればよかったのが、安全性を高めるために、英字の大文字と小文字と数字を組み合わせた9文字以上とした。
セブン&アイは、セブンペイの不正利用は、過去に流出した会員のIDとパスワードを悪用した「リスト攻撃」によるものの可能性が高いとみて、この対応となった。
この異例の対応により、パスワード変更ではなく新たにIDを取得してしまったため、貯めていたポイントがなくなったとなどの問い合わせも多く、利用者への混乱が広がった。
○ついにセブンペイの廃止が決定
8月1日午前にセブン&アイが開いた取締役会で9月末をもって「セブンペイの廃止」が決議された。
1650万人の登録しているグループ共通の会員基盤でもある「セブンID」はパスワードリセットの対応で利用継続となる。
またクーポンなどが得られるスマホアプリの「セブン-イレブンアプリ」も利用継続となった。
セブン&アイ・ホールディングスの後藤克弘副社長の記者会見では、
「リスト型攻撃を受け、これ以上サービスを続けることは経営判断として得策でない。お客様の保護という観点からも廃止する結論に至った」
と語った。
なお、セブン&アイは7月29日現在での不正利用の被害は、807人で約3860万人と発表している。
追記 2019年11月28日
○初の指示役を逮捕
11月21日警視庁は、指示役の中国籍の女(29)を逮捕した。
実行役は10人以上逮捕されているが指示役の逮捕は初めて。
逮捕された女は7月4日に実行役の男(39)に指示し、東大和市のセブンイレブンで、4人のIDとパスワードを使い電子マネーなど約4万円相当を購入させた疑い。
男が逮捕されたのは10月で、調べで「知人の中国人からSNSで指示された」と供述したことより、携帯電話の解析で女の関与が裏付けられた。
最近のコメント