ダメだこりゃ… スマホ決済サービス「セブンペイ」不正アクセス事件は調べれば調べるほどアウトな案件
TABLO / 2019年7月12日 6時30分
セブン-イレブンのスマホ決済サービス「セブンペイ」が不正アクセスで大揺れです。7月1日から満を持してのスマホ決済参入でしたが、ふたを開けてみれば、7月4日で事実上の利用停止。わずか4日足らずでとん挫というのは、いくら何でも早すぎるでしょうに…。せっかく盛り上がってきたスマホ決済サービスに水を差してしまう事態に、業界全体も戦々恐々としているのではないでしょうか。
そこで今回はセブンペイの一連の事件についてまとめてみようかと思います。
まず、端的な事件のあらましは以下のような感じです。
【セブンペイ側の大まかな流れ】
・7月1日
セブンペイがスタート
・7月2日
SNSなどで不正アクセスの情報が浮上する
・7月3日
セブンペイ側が不正アクセス発生を把握して注意を喚起。また、クレジットカードとデビットカードのチャージを一時停止
・7月4日
セブンペイ運営会社の小林強社長が不正アクセスに対しての会見を行う。また、全てのチャージと新規登録の一時停止
・7月5日
経済産業省がセブンペイ運営会社とセブン&アイに原因究明の徹底、被害の拡大防止、再発防止策の策定を求める
【不正アクセスの大まかな流れ】
・7月2日
犯行グループが中国のメッセンジャーアプリ「ウィーチャット」で犯行の実行犯を募集する投稿を行う
・7月3日
募集に応じた中国人の男性が不正アクセスで入手されたIDやパスワードなどの情報を受け取り、電子タバコなどの高額支払いを行う。また、不審に思ったコンビニ側が警察署に通報
・7月4日
詐欺未遂容疑で中国籍の男性2人が逮捕される(翌日に書類送検)
この逮捕された男性2人のうち、1人は容疑を認める供述をしていて、指示役がいたことを証言しています。つまり、オレオレ詐欺の〝出し子〟みたいなポジションなわけで、犯行グループは痛くもかゆくもないわけです。
というか、犯行グループはセブンペイの利用がスタートした直後から動き出しているのですから、もう完全に狙われてますやん。だって、たった4日で被害総額が約5500万円というから、スタートに合わせて一気に仕掛けたんでしょう。セブンペイのスタートを待ち望んでいたのは、nanacoユーザーじゃなく、この犯行グループだったんだろうなぁ…。
ちなみに、犯行グループは国際サイバー犯罪に関与する中国組織が背景にいると推測されています。
参考記事:「児童ポルノ界で人気者になりたかった」 ダークウェブに会員制ロリコンサイトを作った男の末路 | TABLO
そんな不正アクセス事件ですが、原因はセブンペイのセキュリティの甘さにあると言われています。
セブンペイは既存のセブンイ-レブンアプリの更新版としてリリースされました。そして、セブンペイ登録のアカウントはセブン&アイホールディングスの共通ID「7iD」を利用できるシステム。
しかも、この「7iD」は「メールアドレス(アカウント名)」と「生年月日」と「電話番号」だけでパスワードをリセットできるんです。その上、パスワードをリセットした後で送られてくる確認メールの送信先を「別のメールアドレス」に指定できる機能がありました。
もっとわかりやすくいうと、この手のサービスには「パスワードを忘れたら?」みたいな救済措置がありますよね。つまり、「7iD」の会員IDやメアドが闇サイトなんかに漏れていたら、そこからパスワードリセットのページに入れます。そこで漏れていた生年月日とID(メアド)を打ち込んだ後、電話番号を何らかのソフトとかを使って「090」と「080」を総当たりして入力したら、パスワード変更の手続きが取れるということ。
関連記事:特殊詐欺事件裁判で明らかになった「受け子」の報酬 使い捨てにされる彼らに下る刑の重さとは? | TABLO
しかも、その手続き後に送られるパスワードリセットのためのメールが、登録したメールアドレスとは別アドレスを指定できるのですから、「こりゃ、ダメだわ」と素人でもわかります。
メディアでは、IDとパスワードの認証以外に、セキュリティコードなどで追加認証する「二段階認証」に対応していなかったことを盛んに非難されていますが、筆者個人としては、それ以前のセキュリティ意識の低さじゃないかと思います。
ちなみに、過去にはPayPayも不正アクセス事件が起こりましたが、こちらはクレジットカード情報(カード番号、有効期限など)が漏れて、それを犯人が自分のPayPayのカード情報に入力して不正利用されました。
つまり、クレジットカード登録時の本人確認が不十分だったわけです(現在は対策済み)。でも、セブンペイはパスワードを犯人に変更されて〝なりすまし〟されるという、サービスの根幹に原因があるというのが、なんとも厳しい…。
そんなセブンペイですが、7月11日の時点でサービス再開は未定(7月11日再開説がありましたが、セブン&アイが否定しています)。また、セキュリティの見直しと強化を謳っていますが、一度落ちた信用を取り戻すのは並大抵ではないでしょう。これについては、スマホ決済全体についても同じことが言えるでしょうし、これをきっかけに業界のセキュリティ意識を高めていかなければなりません。
そして、私たちもまた、IDやパスワード、二段階認証などのセキュリティ管理を再確認することが求められます。もちろんセブンペイのセキュリティはひどかったのですが、例えばパスワードを使いまわさないようにするとか、スマホ決済サービスが二段階認証などの基本的なセキュリティを導入しているかを確認するとか、きちんと知識を蓄えて、自分なりに対策していくことが重要です。
かなり面倒かもしれませんが、セブンペイは利便性を追求するあまりに二段階認証を採用しなかったり、パスワード変更作業を簡略化して不正アクセス事件につながりました。それを反面教師として、業界も私たちユーザーも、今後はセキュリティを高めるの手間を惜しまないようにしたいものです。(文◎百園雷太)※タイトル画像はhttps://www.7pay.co.jp/より
外部リンク
この記事に関連するニュース
-
株式会社PAY ROUTE、 Kadamba Intrac Private Limitedとインドのファイナンスセキュリティ向上を目的とした共同研究を開始
ITライフハック / 2024年7月22日 13時0分
-
スマホを乗っ取る「SIMハイジャック」驚きの手口 偽造身分証で「なりすまし」被害増加の背景
東洋経済オンライン / 2024年7月16日 9時0分
-
スマホ本人確認「マイナカード一本化」は本当? 実情とSIMスワップ詐欺問題を知る
ITmedia Mobile / 2024年7月15日 10時5分
-
STORES 請求書決済、クレジットカード決済時の本人認証サービス「3Dセキュア2.0」に対応
PR TIMES / 2024年7月3日 15時45分
-
株式会社PAY ROUTE、 Kadamba Intrac Private Limitedとインドのファイナンスセキュリティ向上を目的とした共同研究を開始
PR TIMES / 2024年6月26日 13時40分
ランキング
-
1バイデン大統領はなぜ選挙から撤退したのか 高齢と認知の違い
Japan In-depth / 2024年7月22日 9時28分
-
21300ccの大型バイクが橋から転落、死亡したのは52歳の男性と判明…3人でツーリング中に先頭を走行 北海道で大型バイクの事故相次ぎ、2日間で3人死亡
北海道放送 / 2024年7月22日 10時44分
-
3「妨害するつもりはなかった」“ひょっこり”運転の男 初公判で起訴内容を否認
チバテレ+プラス / 2024年7月22日 18時15分
-
4大規模な新幹線トラブル、今年に入り相次ぐ 停電、オーバーラン、油漏れと原因さまざま
産経ニュース / 2024年7月22日 15時29分
-
5東海道新幹線、運転見合わせ=浜松-名古屋で終日―保守車両脱線、2人けが
時事通信 / 2024年7月22日 22時25分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)