セブン&アイ・ホールディングスは、8月1日の記者会見でセブン・ペイが運営するバーコード決済サービス「セブンペイ」を9月30日で廃止することを発表した。
セブンペイは、7月1日にサービスを開始したが、直後から不正なアクセスで身に覚えのない取引があったなどの報告が殺到した。
7月3日にはクレジットカードからのチャージを停止し、7月11日には外部IDからのログインを停止の処置が講じられた。
9月30日、わずか3ヶ月でセブンペイのサービスは完全撤退となる。
セブンペイの経緯
7月 1日(月) サービス開始(セブン‐イレブンアプリ上に搭載)
7月 2日(火) お客様より「身に覚えのない取引があった」旨のお問合せをいただく
7月 3日(水) 各社ホームページへ「重要なお知らせ」を掲載
海外IPからのアクセスを遮断
クレジット/デビットカードからのチャージ利用を停止
7月 4日(木) 店舗レジ/セブン銀行ATMからの現金チャージ利用を停止新規会員登録を停止
7月 5日(金) 「セキュリティ対策プロジェクト」の設置
7月 6日(土) モニタリング体制の強化
7月11日(木) 外部IDによるログイン停止
7月30日(火) 7iDのパスワードリセットの実施
8月1日(木) サービス廃止を決定
9月30日(月) サービス廃止(予定)
株式会社セブン&アイ・ホールディングスから引用
セブンペイの被害状況
7月31日 17:00現在の被害状況は、808人で3861万5473円と報告されている。
7月中旬以降、新たな被害の報告は内容です。
不正利用の手口は「リスト型アカウントハッキング」か?
今回のセブンペイの不正利用の手口は「リスト型アカウントハッキング」の可能性が高いと言われています。
「リスト型アカウントハッキング」とは、悪意がある攻撃者が、どこかで不正に入手したID・パスワードのリストを用いセブンペイ(7pay)の利用者になりすまして不正なアクセスを行う」ことです。
セキュリティー対策プロジェクトの見解では、「現時点で、外部ID連携・パスワードリマインダー、有人チャットによるパスワードリセット等の機能が、不正アクセスの直接の原因となった事例は見つかっておらず、内部からの流出についても、実査も含め、確認調査を行ったが、明確な流出の痕跡は確認できない」と結果をまとめています。
発生原因は?
- セブンペイに関わるシステム上の認証レベルの低さ
- セブンペイの開発の検証不足
- セブンペイにおけるシステムリスク管理体制
セブンペイは、後発のため焦りもあり十分な検証がされないまま市場に出たのではないか?との意見もありますが、セブン&アイ・ホールディングスは、それに対して否定をしています。
実態はどうなのか不明です。
今後の対応
被害に遭われた方への対応は、被害金額のすべてを補償すると言われています。
登録されたクレジットカードから身に覚えのないチャージされた方は、カードお支払日までに当該チャージ分のお引き落としが無いように対応する。
チャージしたセブンペイ残高を第三者に利用される被害に遭われた方は、8月19日(月)より順次、補償手続きについて個別にご案内しているそうです。
まだ、被害に遭われているのに連絡していない人は、以下に連絡をしてください。
7payお客様サポートセンター緊急ダイヤル
(0120-192-044 24時間・年中無休)
