水曜日, 11月 13, 2019
ホーム ニュース インターネット 不正利用に脆弱性。セブン・イレブンの決済サービス「7Pay」に一体何が起きているのか?これまでの流れを振り返る

不正利用に脆弱性。セブン・イレブンの決済サービス「7Pay」に一体何が起きているのか?これまでの流れを振り返る

つい先日の7月1日、コンビニチェーン店「セブン・イレブン」を展開する「セブン&アイ・ホールディングス」が傘下の決済事業者「セブン・ペイ」を通じてQR決済サービスの「7Pay」を展開した。

しかしながらサービス開始早々アカウントを勝手に乗っ取られたり、クレジットカードから不正にチャージされる被害がインターネット上で相次いで報告され、現在セブンイレブン側もその問題を認めて対応に迫られている状況だ。本記事ではその一連の騒動の流れを振り返っていく。

7月1日:サービス開始

先程も述べたが同サービスが開始されたのは7月1日のこと。本サービスはいわゆる「QRコード決済」と呼ばれるキャッシュレス決済サービスで、アプリに表示したQRコードを読み取ることで決済が可能な仕組みだ。また200円(税別)の買い物につき、1ポイントのnanacoポイントが付与される。なおこの日はアクセス過多の影響で利用がしづらい状況であった。

7月2日〜3日::不正利用の被害が

2日の夕方に利用者から「身に覚えのない取引があった」と問い合わせがある。これを受けてセブン・ペイ側は調査を開始する。

3日の朝にセブン・ペイは第三者による不正アクセスの被害があったと明らかにする。調査によればタバコの大量購入など、不正とみられる事例が確認されたという。セブン・ペイ側は不正利用の原因はパスワードにあるとし、ユーザーにパスワードの変更とログインIDの変更を推奨、さらにクレジットカードとデビットカードによるチャージを停止した。

7月4日:脆弱性が指摘される

しかしながら問題が治まる気配を見せない。4日の朝6時時点で被害者は900名、被害総額は5500万円にのぼると発表。さらにそんな状況に追い打ちをかけるように、インターネット上で「第三者でもパスワードを簡単に再設定し乗っ取れる脆弱性がある」という指摘がなされる。

その指摘によれば「そのユーザーの生年月日や電話番号、会員ID(メールアドレス)を知っていれば、(後にそれさえもいらないと判明)他のメールアドレスにもパスワード再設定用のURLを送れる」としている。

セブン・ペイはこの指摘を受けたのか、パスワード再設定メールの送付先を指定するフォームをページから削除し、事前登録したユーザーのメールアドレスに送るように改めた…のだが、CSSでアドレス先を指定するフォームを削除しているだけであり、表示させれば第三者のメールアドレスに送信できることがSNSユーザーの調査で明らかになっている。

さらにこのIDとパスワードはそもそもセブン・イレブンとその関連企業が展開するオンラインサービスで利用感可能な「7iD」と共用であり、被害がさらに広がる可能性が指摘されている。

そして4日14時からは、店頭レジ及び「セブン銀行ATM」からの現金チャージ、「nanacoポイント」からのチャージなどの全てのチャージを停止させると発表。また新規のユーザー登録も停止するとのこと。ただし既にチャージ済みの残高の7payの支払いは引き続き行なえるとのことだ。

また不正アクセスが疑われるIDを凍結したほか、海外からのアクセスを遮断し、パスワード変更操作の見直しなどを検討、更に不正アクセスされたアカウントを特定するため今後は不正が疑われる一つ一つの取引をチェックして、警察にも被害届を出す予定だという。再開については、「調査してさらなる安全策を時間をかけずに検討し、万全の体制で再開したい」とコメントしている。

もはや「どうしてこうなった」と言わんばかりの状況になってしまった「7Pay」をめぐる騒動。過ぎてしまったことはもう仕方ないので、セブンイレブンにはこの反省をしっかりと踏まえて今後に生かして欲しいものである。

YamauchiKazunori
ネットミームや動画、ときどきゲーム。

返事を書く

Please enter your comment!
Please enter your name here

CAPTCHA


話題の記事

新着記事