2019年8月1日、コンビニ大手企業の株式会社セブン&アイ・ホールディングスが展開する「7pay(セブンペイ)」について、サービスを終了する方針を固めたと発表がありました。7月1日のサービス開始から1か月での異例の決断の裏に、どのような経緯があったのか、まとめてみました。
7pay、悪魔の1か月間
7月1日:サービス開始
2019年7月1日から全国のセブンイレブンの店舗にて、独自のQRコード使用した決済サービス「7pay(セブンペイ)」を開始するとして、大きく話題になりました。
7月2日:不正利用の波紋
7payサービスにおいて「身に覚えのない利用があった」との連絡がユーザーから入り、SNS上でも、不正利用に関するコメントが次々に上がり始める。
7月3日:不正アクセスを公表
セブンペイ社は、調査により外部からの不正アクセスによる、ユーザーアカウントへの不正アクセスおよび乗っ取りによる被害が確定的とみて情報開示。
7月4日:緊急記者会見
4日午後には緊急記者会見が開かれ、被害状況(後述)についての説明を実施。会見にて、クレジットカード、デビットカード、現金チャージ、nanaco からの一切のチャージ機能と、新規ユーザー登録を停止しているとの情報も公開。不正アクセスによる被害の対象となるアカウントはおよそ900人、不正利用による被害総額は5,500万円以上と公開されました。
また、中国籍の男2人が、歌舞伎町のセブンイレブン店舗において、7payで70万円以上の悪用を行い逮捕されている。この件は国際的な犯罪組織がサービス開始時期を狙った計画的なものとみられており、警視庁が調査に動き出す。
7月5日:対策本部立上げ
セブンペイ社は、緊急対策本部として「セキュリティ対策プロジェクト」を立ち上げ、 セキュリティ強化と監視人員を増員。
7月11日:連携サービスの遮断
セブン&アイ・ホールディングス関連アプリ(セブン-イレブンアプリ、イトーヨーカドーアプリ、西武・そごうアプリ、ロフトアプリ、 アカチャンホンポ)を、外部連携していたサービス(Facebook 、Twitter 、Google、Yahoo!JAPAN、LINE)から遮断
7月29日:被害状況の公開
被害状況の正確な被害状況を公開。該当する被害ユーザーは807人で、被害総額は3860万5335円とのこと。
7月30日:パスワード一斉リセット
7payや、セブン&アイ・ホールディングス関連商品通販サイト「オムニ7」ログインに必要な「7iD」の既存パスワードを一斉リセットしたと発表。
8月1日:サービス終了を発表
7payを2019年9月30日でサービス終了すると発表。
7payで利用されるQRコード決済とは?
7payがQRコード決済のサービスであったことも、ハッカーたちに狙われた原因の一つと言われています。QRコード決済とはどういったものなのか、メリット、デメリットをまとめてみました。
QRコード決済のメリット
QRコード決済を導入するメリットとして、まずサービス提供側は、導入時においてQRコードを用意するだけで済むため、手間も初期費用も必要なく、クレジットカード決済の伝票管理や事務作業の手間を省き、現金による勘定ミスの予防や、スタッフへの教育コストも抑えられるなど、複数のメリットがあります。
一方の利用者側は、事前にクレジットカードと使用したいQRコード決済サービスとの連携を済ませておけば、スマホのカメラで店頭のQRコードを読み込むだけで決済が完了することから、手間を大幅に減らすことが可能となります。
日本政府もまた国内のキャッシュレス化を推進しており、今年2月2日には、安倍首相が国内のキャッシュレス普及率が2割弱という状況の視察も兼ねて、都内の生花店で実際にQRコード決済を体験するニュースが報道されておりました。
QRコード決済のデメリット
一方で、QRコード決済にもいくつかの弱点があります。
QRコード自体で言えば、コードが本物かどうかを肉眼で判別するのが難しいため、偽物のQRコードとすり替えられていても気づき難く、疑うことなくフィッシングサイトなどに誘導されてしまうケースもあります。
また、決済系サービス全般に言えることですが、クレジットカードなど、各種金融サービスとの連携を進めているため、逆にアカウントを不正利用されてしまえば、容易に多額のお金を盗み出すこともできるようになるというリスクも増えてしまいます。
原因は経営陣のセキュリティ認識不足
今回の事件は外部からの悪意あるサイバー攻撃によるものでしたが、セブンペイ社に対して批判が多数上がりました。各方面から指摘されているポイントは、7payの「セキュリティ上の脆弱性」です。今回の被害は、大きく以下3つの問題が挙げられます。
①リスト型攻撃
外部のサービスなどから何らかの方法で、IDやパスワード、個人情報を入手したハッカーが、それらの情報を照らし合わせてログイン認証を突破するというサイバー攻撃の手法の一つです。ユーザーのパスワードの使い回しなどで被害につながるリスクが上がります。
今年、ユニクロやGU、ヤマダ電機などのECサイトなどへの攻撃でも同様の手法が使われています。不正アクセスの直接の被害は、このリスト型攻撃によるものとの見方が強まっています。
②7iDのアカウント認証
7iDは、ユーザーの生年月日と電話番号、メールアドレスがわかっていれば、誰にでもパスワードの変更できるシステムとなっていました。加えて、多くのwebアプリケーションやSNSサービスのログイン認証時に採用されている、「2段階認証」が施されていなかったことも問題提起の要因となっております。
例えば、LINEアカウントの認証は1台のスマートフォンとの紐づけをしておき、他のパソコンなどでのログインを行おうとすると、紐づけているスマートフォンに確認のメッセージが届きます。
7payにこうした認証時のセキュリティが施されていない理由について、セブンペイ社は、「ユーザーの利便性を優先するため」にあえてこのような仕様としたと説明しております。
経営陣のセキュリティへの認識
経営陣は、7payのリリースを優先するあまり、セキュリティ部分を蔑ろになっていた可能性が高いとのことで、記者会見の際に、2段階認証についての質問に、返答できなかったことからも、セキュリティに対しての認識が疎かであったことがうかがい知れました。
また、7pay開発の外注先やシステムの変更なども頻繁に発生していたとのことで、開発工程にかなり無理が生じていたとのことです。
セブンペイの対応とこれから
セブンペイ社は、不正アクセスによる被害に遭ったユーザーへの対応については、全額補償する意向を示しており、7payの新規登録も追加チャージも一切停止されております。
また、セブンペイ社はクレジットカード各社と連携し、問題のあったユーザーに対して個別に対応を進めております。
JCBカード、三菱UFJニコス系カード(MUFGカード、DCカード、ニコスカード、UFJカード)、三井住友カードについては、すでに請求の取り消しも含む対応が順次行われているとのことです。
今回の一連の騒動で、多くの国民からIT分野におけるセブンイレブンへの信頼が損なわれたと同時に、QRコード決済をはじめとするキャッシュレス決済に不安を与える結果となったのは否めません。
しかし、今回の問題により、最低限に取り入れるべきセキュリティ対策は何なのか、個人も含めた企業や組織において、現状の認識は間違っていないだろうかと、改めて考えるべき出来事だったのではないでしょうか。
| 「7pay(セブンペイ)」 サービス廃止のお知らせとこれまでの経緯、今後の対応に関する説明について |
本件に関する意見などあれば、ぜひ下記のコメント欄からご記入ください!