セブン-イレブンのスマホ決済サービス「セブンペイ」が不正アクセスで大揺れです。7月1日から満を持してのスマホ決済参入でしたが、ふたを開けてみれば、7月4日で事実上の利用停止。わずか4日足らずでとん挫というのは、いくら何でも早すぎるでしょうに…。せっかく盛り上がってきたスマホ決済サービスに水を差してしまう事態に、業界全体も戦々恐々としているのではないでしょうか。
そこで今回はセブンペイの一連の事件についてまとめてみようかと思います。
まず、端的な事件のあらましは以下のような感じです。
【セブンペイ側の大まかな流れ】
・7月1日
セブンペイがスタート
・7月2日
SNSなどで不正アクセスの情報が浮上する
・7月3日
セブンペイ側が不正アクセス発生を把握して注意を喚起。また、クレジットカードとデビットカードのチャージを一時停止
・7月4日
セブンペイ運営会社の小林強社長が不正アクセスに対しての会見を行う。また、全てのチャージと新規登録の一時停止
・7月5日
経済産業省がセブンペイ運営会社とセブン&アイに原因究明の徹底、被害の拡大防止、再発防止策の策定を求める
【不正アクセスの大まかな流れ】
・7月2日
犯行グループが中国のメッセンジャーアプリ「ウィーチャット」で犯行の実行犯を募集する投稿を行う
・7月3日
募集に応じた中国人の男性が不正アクセスで入手されたIDやパスワードなどの情報を受け取り、電子タバコなどの高額支払いを行う。また、不審に思ったコンビニ側が警察署に通報
・7月4日
詐欺未遂容疑で中国籍の男性2人が逮捕される(翌日に書類送検)
この逮捕された男性2人のうち、1人は容疑を認める供述をしていて、指示役がいたことを証言しています。つまり、オレオレ詐欺の〝出し子〟みたいなポジションなわけで、犯行グループは痛くもかゆくもないわけです。
というか、犯行グループはセブンペイの利用がスタートした直後から動き出しているのですから、もう完全に狙われてますやん。だって、たった4日で被害総額が約5500万円というから、スタートに合わせて一気に仕掛けたんでしょう。セブンペイのスタートを待ち望んでいたのは、nanacoユーザーじゃなく、この犯行グループだったんだろうなぁ…。
ちなみに、犯行グループは国際サイバー犯罪に関与する中国組織が背景にいると推測されています。
そんな不正アクセス事件ですが、原因はセブンペイのセキュリティの甘さにあると言われています。
セブンペイは既存のセブンイ-レブンアプリの更新版としてリリースされました。そして、セブンペイ登録のアカウントはセブン&アイホールディングスの共通ID「7iD」を利用できるシステム。
しかも、この「7iD」は「メールアドレス(アカウント名)」と「生年月日」と「電話番号」だけでパスワードをリセットできるんです。その上、パスワードをリセットした後で送られてくる確認メールの送信先を「別のメールアドレス」に指定できる機能がありました。
もっとわかりやすくいうと、この手のサービスには「パスワードを忘れたら?」みたいな救済措置がありますよね。つまり、「7iD」の会員IDやメアドが闇サイトなんかに漏れていたら、そこからパスワードリセットのページに入れます。そこで漏れていた生年月日とID(メアド)を打ち込んだ後、電話番号を何らかのソフトとかを使って「090」と「080」を総当たりして入力したら、パスワード変更の手続きが取れるということ。
しかも、その手続き後に送られるパスワードリセットのためのメールが、登録したメールアドレスとは別アドレスを指定できるのですから、「こりゃ、ダメだわ」と素人でもわかります。
メディアでは、IDとパスワードの認証以外に、セキュリティコードなどで追加認証する「二段階認証」に対応していなかったことを盛んに非難されていますが、筆者個人としては、それ以前のセキュリティ意識の低さじゃないかと思います。
ちなみに、過去にはPayPayも不正アクセス事件が起こりましたが、こちらはクレジットカード情報(カード番号、有効期限など)が漏れて、それを犯人が自分のPayPayのカード情報に入力して不正利用されました。
つまり、クレジットカード登録時の本人確認が不十分だったわけです(現在は対策済み)。でも、セブンペイはパスワードを犯人に変更されて〝なりすまし〟されるという、サービスの根幹に原因があるというのが、なんとも厳しい…。
そんなセブンペイですが、7月11日の時点でサービス再開は未定(7月11日再開説がありましたが、セブン&アイが否定しています)。また、セキュリティの見直しと強化を謳っていますが、一度落ちた信用を取り戻すのは並大抵ではないでしょう。これについては、スマホ決済全体についても同じことが言えるでしょうし、これをきっかけに業界のセキュリティ意識を高めていかなければなりません。
そして、私たちもまた、IDやパスワード、二段階認証などのセキュリティ管理を再確認することが求められます。もちろんセブンペイのセキュリティはひどかったのですが、例えばパスワードを使いまわさないようにするとか、スマホ決済サービスが二段階認証などの基本的なセキュリティを導入しているかを確認するとか、きちんと知識を蓄えて、自分なりに対策していくことが重要です。
かなり面倒かもしれませんが、セブンペイは利便性を追求するあまりに二段階認証を採用しなかったり、パスワード変更作業を簡略化して不正アクセス事件につながりました。それを反面教師として、業界も私たちユーザーも、今後はセキュリティを高めるの手間を惜しまないようにしたいものです。(文◎百園雷太)※タイトル画像はhttps://www.7pay.co.jp/より
