出典:テレ東
セブン-イレブンで使えるスマートフォン決済サービス「7pay」で、第三者による不正アクセスが確認された問題で、セブンペイの小林強社長が緊急記者会見を開いたのですが、なんとユーザー登録時に推奨されているはずの二段階認証を知らなかったとして大きな波紋が広がっております。
今回は、この小林強社長が二段階認証を知らなかった理由や、セブンペイの不正アクセスがなぜ引き起こってしまったのか?などについて迫ってみたいと思います。
セブンペイで不正利用が相次ぐ
朝日新聞デジタルほか、メディア各局が以下のようなニュースを報じ、話題となっています。
セブン&アイ・ホールディングス(HD)は、コンビニ最大手のセブン―イレブンで1日から始めた独自のスマートフォン決済「7pay(セブンペイ)」について、利用者の一部が不正アクセスの被害に遭ったことを受け、セブンペイの新規登録を停止すると発表した。クレジットカードやデビットカード、店頭やATMでのチャージ(入金)も停止する。すでにチャージ済みの金額は利用できる。
不正の被害は4日午前6時時点の試算で、計約900人、約5500万円。不正の被害については「全ての被害に対して補償を行う」としている。問い合わせは、お客様サポートセンター緊急ダイヤル(0120・192・044、24時間受け付け)へ。
4日午後に記者会見したサービス運営会社セブン・ペイの小林強社長は「被害に遭ったお客様に深くおわび申し上げます。セブンペイを利用してくださっているお客様、関係者に多大なるご迷惑ご心配をおかけしたことをおわび申し上げます」と謝罪した。
セブンペイでは、利用者が見知らぬ第三者の不正利用の被害に遭う事例が相次いでいる。セブン・ペイは3日に不正被害の発生を公表したが、その後もネット上では被害を訴える声が相次いだ。
(ー中略ー)
出典:朝日新聞デジタル
セブン・ペイについて
出典:セブンペイ
では、問題となっているセブン・ペイとは一体どのようなサービスなのでしょうか?
セブン・ペイとは2019年7月1日より開始されたセブンイレブンの独自スマホ決済サービスの名称であります。
セブンイレブンのアプリで表示できるQRコード/バーコードを提示するだけで買い物が現金を支払わずに買い物することが可能であり、わざわざカードを提示せずともセブン&アイ・ホールディングスで使用できるnanacoポイントも貯めることが出来る優れものです。
同じバーコード決済にはLINEペイや楽天ペイ、PayPay、メルペイなどが存在しておりますが、セブンイレブンでは使用できないものもあり(楽天ペイ)、バーコード決済においてはこのセブンペイが台頭すると有力視されておりました。
セブン・ペイの利用方法
セブン・ペイの利用方法は、事前にアプリのダウンロードが必要であり、金額をチャージして使用することができます。
チャージの方法は、店頭レジでの現金チャージやセブン銀行ATMからの口座残高からチャージ、各種クレジットカードの引き落としなどが選べ、その都度自分にあった金額をチャージしておくことで、店頭でキャッシュレスでお買い物をすることが出来るのです。
キャッシュレス化の波に押されサービスを開始したものの…
キャッシュレス化の波が押し寄せ、ライバル店のファミリーマートでもファミペイなどがサービスを開始したり、メルカリのメルペイ、少し前まではPayPayが100億円あげちゃうキャンペーンなどをして一気にユーザーを獲得するなど、競争は熾烈を極めております。
新規参入で参入障壁も低いことから、セブン&アイ・ホールディングスも導入を検討し、サービス開始に踏み切ったのですが、早速トラブルが発生したしまったのです。
どのようなトラブルなのか?
では、このセブン・ペイのトラブルは一体どのような内容なのでしょうか?
セブン・ペイの不正利用トラブルは大きく分けて3種類確認されております。
アカウント不正ログイン
まず、セブン・ペイは7iDを持っていない場合、新規7iDアカウントを作成して利用することが出来るのですが、7iDでは2段階認証がなく、誕生日とメールアドレスを使って第三者がパスワードをリセットできる欠陥が確認されているため、7iDを持っていない人が新規利用した場合、第三者によって不正にログインされる危険性があるのです。
不正アクセスのほとんどは海外IPからであるということで、主に中国からのアクセスが多いとのことです。
第三者によるクレジットカードからの不正チャージ
これは、不正にアクセスされたアカウントをもつ第三者が、勝手にチャージをしてしまったという問題です。
チャージの方法には、クレジットカード/デビットカード、セブン銀行(デビットカード)、セブン銀行ATM、nanacoポイントでチャージ、レジで現金チャージの5つの方法があるのですが、クレジットやデビットを設定している場合、チャージする金額を設定して認証パスワードを入力するだけで簡単にチャージが出来てしまいます。
これは生体認証(指紋や顔)ではないという脆弱性をついた不正であると考えられます。
入金したお金の不正利用
そして最後に、不正にアクセスしたアカウントでチャージした金額を使い、実際にセブンイレブンでお買い物をしているというケースです。
報告が上がっている例として、10万円分のタバコを購入したなどの例もあるということで、被害額は相当なものになると思われます。
7payで不正利用が発生。6万円以上の不正チャージと(ログオンできないから確認できないけど)不正利用。#7pay #不正利用 #サイバー犯罪 pic.twitter.com/p90XcSK1Jn
— 岬太郎 (@frogeye9999) 2019年7月2日
トラブルの原因は登録していないアドレスでもパスが再発行可能
このトラブルの主な原因としてあげられるのが、登録していないアドレスにもパスワード再発行アドレスが送れてしまうという点で、この方法を利用して第三者がパスワードを変更したことが原因であると言われております。
不正利用の対策はあるのか?
では、不正利用の対策などはあるのでしょうか?
アカウント不正ログインについては、使いまわしパスワードの変更呼びかけたり、第三者によるクレジットカードの利用についてはクレジットカード・デビットカードからの入金を一時停止するなどの対応をセブンペイは行なっております。
最後に、実際に不正利用が発覚してしまった場合hsh、エンドユーザーが実際にカード会社に連絡をして、カードの利用を止めるという作業をしなければならず、その際にかから発行手数料を誰が負担するのか?といったことについては言及されておりません。
セブンペイを運営する株式会社セブン・ペイについて
こちらが、問題のあった株式会社セブン・ペイの会社概要です。
| 名称 | 株式会社セブン・ペイ(英名:Seven Pay Co., Ltd.) |
| 所在地 | 東京都千代田区二番町4番地5 |
| 代表者の役職・氏名 | 代表取締役社長 小林 強(こばやしつよし) (株式会社セブン・フィナンシャルサービス取締役専務執行役員兼務) 個人情報保護管理責任者 管理部 |
| 事業内容 | スマートフォンをツールとした決済サービス等 |
| 資本金 | 5,000百万円 |
| 設立年月日 | 2018年6月14日 |
| 株主及び持株比率 | 株式会社セブン&アイ・ホールディングス(出資比率40%) 株式会社セブン・フィナンシャルサービス(出資比率30%) 株式会社セブン銀行(出資比率30%) |
株式会社セブン・ペイは、セブン&アイ・ホールディングスやセブン銀行などが出資をして設立したセブン・ペイを主に取り扱っている会社で、セブンの子会社であるといっても差し支えないでしょう。
セブン・ペイのシステム自体は大手IT企業が手がけた
ちなみにですが、セブン・ペイのシステムそのものはNTTデータ、NEC、NRI、OracleというIT企業でも大手の会社がシステムの開発に関わっているということです。
同社のオムニシステム開発プロジェクトは、2013年8月にスタート。業務検討で10カ月、システム開発で15カ月を要したという。
システム開発にあたっての課題は、さまざまな業態が混在するマルチカンパニーである点と、各システムが13社のマルチベンダー化しており、
これらの環境をまとめることが大変な点だった点だという。これに対し同社では、チームITの考えで、NTTデータ、NEC、NRI、Oracleの4社のITベンダーのチームで開発し、成功したという。
出典:マイナビニュース
小林強社長が記者会見をし「二段階認証」を知らなかった
セブン・ペイの不正アクセス問題に関して、株式会社セブン・ペイの小林強社長が記者会見を開いたのですが、記者からの質問に対して二段階認証に言葉を詰まらせており、大きな波紋が広がっております。
その動画がこちらです。
朝日新聞の記者が「ユーザー登録時に二段階認証をされているサービスがほとんどだと思うんですけど、7payさんでそれをされなかった理由について教えてください」という質問に対して「二段階認証…?」と、小林強社長が言葉を反芻しております。
反芻とは言葉を繰り返してよく考えるこという意味ですので、二段階認証について知らなかったものと思われます。
この反芻した後、朝日新聞の記者が二段階認証について丁寧に説明をするという場面も見受けられました。
なぜ二段階認証を知らなかったのか?
そもそも二段階認証とは一体どのような認証方法なのでしょうか?
二段階認証とはネットバンクやECサイトの会員ページなどにおいて、ID・パスワードに加えて、さらに別の方法で本人性確認を行なうことで、より安全にサービスを利用するためのシステムのことです。
基本的にはSMS(電話番号に送られるメッセージ)に特定の認証文字が送られてきて、それを再度ログインページに入力することによって、本人が端末を操作しているという確認を行っております。
これを二段階認証と呼び、多くのサービスで広く利用されており、スマホ世代であれば当たり前なのですが、小林社長は知らなかったのです。
セブンペイの社長が二段階認証を知らないというのがそもそも問題なのですが、小林社長がプライベートでスマホを頻繁に利用しないとなれば、おそらく二段階認証をしたことがなかったのではないでしょうか?
そのため、SMSにパスワードが届くなどの情報を知らなかったのでしょう。
セブンペイの対応が遅すぎる
2019年7月1日にセブンペイはサービスを開始したのですが、TwittrなどのSNSには2019年7月2日の夜の段階で不正利用の報告が上がっております。
顧客からの問い合わせを受け、セブン&アイホールディングスが不正利用を認知したのが2019年7月3日の朝であり、2019年7月3日16時以降にセブン・ペイへのクレジット・デビットカードからの入金を一時停止させるという対応をとっております。
さらに、記者会見を開いたのが2019年7月4日ということで、対応が全て後手後手に回っているのも、印象を悪くしている一つの要因であると考えられます。
何れにしても、二段階認証という認証システムを利用していなかったがために、引き起こされてしまった不正利用問題であるだけに、一層の波紋が広がりそうな一件です。
あなたにおすすめの記事
