さて7月1日からスタートした、「セブン&アイ・ホールディングス」が提供するキャッシュレス・サービス「セブンペイ」において、不正利用が判明しました。
スタートから、さっそく4日には「チャージのみ停止」となってしまい、緊急記者会見を開きました。
それにしても「セブンペイ不正利用の手口とは?」一体どのようなセキュリティー対策を行っていたのでしょうか?
そして、なぜこんなに簡単に乗っ取られるの?という疑問や反応についてもまとめてみました!
それにしても、始まってすぐに被害額が5,500万円ってヤバイですね。
目次
「セブンペイ」不正利用が発覚で、チャージを停止してしまう
セブンペイ「小林強社長」
それでは、今回の「セブンペイ」不正利用について、一体どのような被害があったのか、おさらいしたいと思います。
- 7月1日「セブンペイ」(セブンイレブン・アプリ内の機能)というスマホによるバーコード決済のサービスを開始(キャッシュレス・サービス)
- 7月2日夕方:お客様から「不正利用があったようだ・・・」という連絡があり、事態が発覚する
- 7月4日午前6時:クレジットカード・デビットカード・現金でのチャージを停止。新規登録も一時停止。
そして、この数日間で出た被害者は、約900名であり、被害総額は5,500万円だと発表していました。
そしてその人物が、同日にすべて使いきった場合にこの乗っ取りの被害者だとカウントする方法で算出されたようです。
世間では、実際にはもっと被害がありそう…💦
なんてウワサもされています。
セブンペイ不正利用の手口とは?
それでは、実際に犯人はどのような手口で「セブンペイ」の不正を行ったのでしょうか?
https://twitter.com/straydrop411/status/1146608600032301056
このとき、ポイントとなるのが「二段階認証」なんですが、今回の緊急記者会見でも分かる通り、
セブンペイの社長・小林強社長はこのシステムのことさえ知らなかったコトが露呈されてしまい、炎上していました。
まず、「セブンペイ」は👇
- セブンイレブン・アプリ
- セブンイレブンID
- セブンペイ
が簡単に言うとセットになっていて、まずはアプリをダウンロードしてIDを取得すれば、「セブンペイ」の利用もできるようになるということなんですが。。
ひとまず、だいたい「全部おんなじIDでログインできるんだ」というザックリとした解釈をしてください。
「セブンペイ」はなぜ簡単に乗っ取られてしまうの?
それにしても、こんなにすぐ大手会社セブンイレブン傘下の「セブンペイ」はなぜ簡単に乗っ取られてしまうの?って思っちゃうのですが…💦
まずは、インターネット通販のシステムと連動しているという所が、ツボです。
この「セブンイレブンID」は、イトーヨーカドーなどの商品も購入できる通販サイト「オムニ7」にも適応してるというわけです。
「オムニ7」のHPには、不正アクセスについての注意喚起が!
そして、この「オムニ7」から流入して、「パスワードを忘れた場合」へ進みます。
セブンイレブンID「パスワードを忘れた場合」のページ
👆すると、このような画面になるわけですが。
真ん中の「7iD」会員登録済みのお客様へ進みます。
「登録済みメールアドレス」と、送信先メールアドレスを同一にしなくてもいいという…
👆そして、この画面が現れます。
このセキュリティー管理の方法だと、「登録済みメールアドレス」と、「送信先メールアドレス」を同一にしなくてもいいという方法が取られているので、乗っ取られたとしても本人は気づきません。
その上、パスワードの再設定に必要な個人情報の入力箇所が少なすぎるということも、誰でも簡単に乗っ取りができてしまうセキュリティーの甘さだと指摘されていたわけです。
セブンペイ社長「二段階認証」を記者会見で指摘され、困惑・・・
さて、それにしてもセブンペイ社長が「二段階認証」さえ知らなかったという点についても、物議を醸しているようです。
その2点がわかれば、簡単に誰でも書き換える事ができる、とても酷いセキュリティーだったようです。
そして、会見では記者が「二段階認証はなぜ取り入れてなかったんでしょう?」と質問するも、
小林強社長は「二段階認証…(ってなんだ)?」という返答だったことから、セブンペイそして、親会社「セブンイレブン」も含めて、体制が古すぎるのではないか?などと批判されてしまうという事態となっています。
確かに、このIT社会の時代に「キャッシュレス・サービス」を取り入れておきながら、「二段階認証」を知らないということは、責任者としてどうなんだ?
となってしまうのも、しょうがないのかも知れません。
「自分でアプリをダウンロードして確かめなかったのかな?」
って個人的には、思ってしまいました。
ちなみに、現在はもっとセキュリティーを強化した内容に変更してありました。
コレで、ひとまず登録している人も安心していいかも知れませんね・・・。
今後の調査で、さらに被害者が増えたり、被害額の対応についても注目が集まりそうです。
「セブンペイ」不正利用で招いたセブンへの不信感とは?(世間の反応)
退会するにはポイントもクーポンも破棄とか乗っ取られてクレジットカード不正利用されたとか、
これはマジでセブンイレブン傾くよな#セブンペイ#7pay— 頃助@言いたいこと言うアカウント (@yawarakainari69) July 3, 2019
不正利用されたセブンペイのセキュリティが甘かった件は、「見た目だけよければ良いから、早く安く作ってくれ」って、よくある意識低い系経営者の問題と似てるね。
法律で「テスト条件満たしてなければ罰金」とかにすれば、知見が集まりやすいのだけど利権が生まれるし、ムズい。
— chiitake (@chiitake) July 4, 2019
中継聞いてる。セブンペイ、コンビニ店舗でしか使えないなら、不正使用されたタイミングのレジ前の監視カメラ映像とかありそうだけどそっち方面の対応してるのかな、と思ったがいまだにレジでの大口利用止めてないとかで被害を止めようとすらしてないなこれ。
— myrmecoleon (@myrmecoleon) 2019年7月4日
不正利用された人は警察に被害届出してね
具体的なことはまだセブンとしては考えてません#7Pay #セブンペイ警察も激怒でしょこれ
— カモ@0/3 (@adachijapan3) July 4, 2019
不正利用された分は返ってくるようですが、自分でチャージした分は返ってこない?という話もあります。セブンペイ早くも終わった感。セブンペイを退会するとチャージ分の残高は消滅してしまうので、退会する場合は使い切ってからにしましょう。
— どん太 (@dontayamakawa) July 4, 2019
セブンペイがいきなり5500万円も不正利用されペイしないポンコツになり下がってしまったのは邪険にされたnanacoの呪いなんかじゃなく、二段階認証も無く本人の特定がメアドと電話番号だけで出来ちゃうからw
Facebookで色々晒してたら一発アウトですわ。何故この仕様で通ったのか、学生にやらせたの?
— 周 健 (@amaneken) 2019年7月4日
7Pay(セブンペイ)クレジットカード不正利用騒動でセブンイレブン関連のサービスからクレカ情報を消してる方、omni7のだけ消して安心してはダメですよ
nanaco、nanacoモバイルでクレジットチャージしたことあるならそっちの情報は別なので「nanacoクレジットチャージ解約手続き」をする必要があります— ゆきつ (@yukitsu_mo) July 3, 2019
ツイッターでは、被害を最小に抑えるためにも、いろんな方が有益な情報をつぶやいてくれています。
ですが、やはりセブイレブンの体制の甘さについても、けっこう厳しい意見が目立ちます。
とは言え、日本中どこにでもあって、便利だし利用している人も多いことでしょう。
まして、いまも働いている人もたくさんいるわけだから、そう簡単に人気低迷してもらっては困る!と思ってる人も多いのではないでしょうか?
今後の経営不振が心配ですが、どのような対策をしていくのかなども、気になるところですね。
まとめ:セブンペイ不正利用の手口とは?
セブンペイ「小林強社長」
今回は、「セブンペイ」の不正利用(不正アクセス利用)について、一体どのような手口で乗っ取られたのかについて、調べてみました。
ネット通販や、キャッシュレス決済(バーコード認証決済)がごく普通に利用され便利な時代ではありますが、やはり乗っ取りなどのリスクは考えものですよね…💦
とは言え、今回の案件は「セブイレブンという大手企業」が作ったシステム「セブンペイ」自体に、そもそも問題があったということが判明しています。
今後の対応についても、さらに注目が集まるのでは無いでしょうか?
最後までお読みいただきありがとうございました!
コメントを残す