ダメだこりゃ… スマホ決済サービス「セブンペイ」不正アクセス事件は調べれば調べるほどアウトな案件
TABLO / 2019年7月12日 6時30分
セブン-イレブンのスマホ決済サービス「セブンペイ」が不正アクセスで大揺れです。7月1日から満を持してのスマホ決済参入でしたが、ふたを開けてみれば、7月4日で事実上の利用停止。わずか4日足らずでとん挫というのは、いくら何でも早すぎるでしょうに…。せっかく盛り上がってきたスマホ決済サービスに水を差してしまう事態に、業界全体も戦々恐々としているのではないでしょうか。
そこで今回はセブンペイの一連の事件についてまとめてみようかと思います。
まず、端的な事件のあらましは以下のような感じです。
【セブンペイ側の大まかな流れ】
・7月1日
セブンペイがスタート
・7月2日
SNSなどで不正アクセスの情報が浮上する
・7月3日
セブンペイ側が不正アクセス発生を把握して注意を喚起。また、クレジットカードとデビットカードのチャージを一時停止
・7月4日
セブンペイ運営会社の小林強社長が不正アクセスに対しての会見を行う。また、全てのチャージと新規登録の一時停止
・7月5日
経済産業省がセブンペイ運営会社とセブン&アイに原因究明の徹底、被害の拡大防止、再発防止策の策定を求める
【不正アクセスの大まかな流れ】
・7月2日
犯行グループが中国のメッセンジャーアプリ「ウィーチャット」で犯行の実行犯を募集する投稿を行う
・7月3日
募集に応じた中国人の男性が不正アクセスで入手されたIDやパスワードなどの情報を受け取り、電子タバコなどの高額支払いを行う。また、不審に思ったコンビニ側が警察署に通報
・7月4日
詐欺未遂容疑で中国籍の男性2人が逮捕される(翌日に書類送検)
この逮捕された男性2人のうち、1人は容疑を認める供述をしていて、指示役がいたことを証言しています。つまり、オレオレ詐欺の〝出し子〟みたいなポジションなわけで、犯行グループは痛くもかゆくもないわけです。
というか、犯行グループはセブンペイの利用がスタートした直後から動き出しているのですから、もう完全に狙われてますやん。だって、たった4日で被害総額が約5500万円というから、スタートに合わせて一気に仕掛けたんでしょう。セブンペイのスタートを待ち望んでいたのは、nanacoユーザーじゃなく、この犯行グループだったんだろうなぁ…。
ちなみに、犯行グループは国際サイバー犯罪に関与する中国組織が背景にいると推測されています。
参考記事:「児童ポルノ界で人気者になりたかった」 ダークウェブに会員制ロリコンサイトを作った男の末路 | TABLO
そんな不正アクセス事件ですが、原因はセブンペイのセキュリティの甘さにあると言われています。
セブンペイは既存のセブンイ-レブンアプリの更新版としてリリースされました。そして、セブンペイ登録のアカウントはセブン&アイホールディングスの共通ID「7iD」を利用できるシステム。
しかも、この「7iD」は「メールアドレス(アカウント名)」と「生年月日」と「電話番号」だけでパスワードをリセットできるんです。その上、パスワードをリセットした後で送られてくる確認メールの送信先を「別のメールアドレス」に指定できる機能がありました。
もっとわかりやすくいうと、この手のサービスには「パスワードを忘れたら?」みたいな救済措置がありますよね。つまり、「7iD」の会員IDやメアドが闇サイトなんかに漏れていたら、そこからパスワードリセットのページに入れます。そこで漏れていた生年月日とID(メアド)を打ち込んだ後、電話番号を何らかのソフトとかを使って「090」と「080」を総当たりして入力したら、パスワード変更の手続きが取れるということ。
関連記事:特殊詐欺事件裁判で明らかになった「受け子」の報酬 使い捨てにされる彼らに下る刑の重さとは? | TABLO
しかも、その手続き後に送られるパスワードリセットのためのメールが、登録したメールアドレスとは別アドレスを指定できるのですから、「こりゃ、ダメだわ」と素人でもわかります。
メディアでは、IDとパスワードの認証以外に、セキュリティコードなどで追加認証する「二段階認証」に対応していなかったことを盛んに非難されていますが、筆者個人としては、それ以前のセキュリティ意識の低さじゃないかと思います。
ちなみに、過去にはPayPayも不正アクセス事件が起こりましたが、こちらはクレジットカード情報(カード番号、有効期限など)が漏れて、それを犯人が自分のPayPayのカード情報に入力して不正利用されました。
つまり、クレジットカード登録時の本人確認が不十分だったわけです(現在は対策済み)。でも、セブンペイはパスワードを犯人に変更されて〝なりすまし〟されるという、サービスの根幹に原因があるというのが、なんとも厳しい…。
そんなセブンペイですが、7月11日の時点でサービス再開は未定(7月11日再開説がありましたが、セブン&アイが否定しています)。また、セキュリティの見直しと強化を謳っていますが、一度落ちた信用を取り戻すのは並大抵ではないでしょう。これについては、スマホ決済全体についても同じことが言えるでしょうし、これをきっかけに業界のセキュリティ意識を高めていかなければなりません。
そして、私たちもまた、IDやパスワード、二段階認証などのセキュリティ管理を再確認することが求められます。もちろんセブンペイのセキュリティはひどかったのですが、例えばパスワードを使いまわさないようにするとか、スマホ決済サービスが二段階認証などの基本的なセキュリティを導入しているかを確認するとか、きちんと知識を蓄えて、自分なりに対策していくことが重要です。
かなり面倒かもしれませんが、セブンペイは利便性を追求するあまりに二段階認証を採用しなかったり、パスワード変更作業を簡略化して不正アクセス事件につながりました。それを反面教師として、業界も私たちユーザーも、今後はセキュリティを高めるの手間を惜しまないようにしたいものです。(文◎百園雷太)※タイトル画像はhttps://www.7pay.co.jp/より
外部リンク
この記事に関連するニュース
-
決済プロバイダーからクレジットカード情報流出、170万人に影響か
マイナビニュース / 2024年9月12日 10時8分
-
カード不正利用、低額化/巧妙化が進むも、対策に遅れが目立つ 6万円未満の被害が過去3年間で10%増加
PR TIMES / 2024年9月9日 17時45分
-
「キャッシュレスセキュリティレポート2024(年次版)」を公開
PR TIMES / 2024年9月9日 17時45分
-
教職員の“定額働かせ放題”問題の解消や集金のトラブルを防ぐ部活動管理システム『スクウる。』サービスサイト公開
PR TIMES / 2024年9月9日 14時15分
-
「スーパーカーに飛び石が当たった」セレブもどき3人組の巧妙詐欺手口…クレカ34枚で商品4000万円を購入
日刊ゲンダイDIGITAL / 2024年9月6日 9時26分
ランキング
-
1遺体の頭を金属の棒で突き、頭蓋骨が崩れる…岐阜市斎苑「きれいに火葬するためだった」
読売新聞 / 2024年9月20日 12時33分
-
2一家3人殺害、孫を鑑定留置=来年1月まで―静岡地検支部
時事通信 / 2024年9月20日 15時6分
-
3救急車のフロントガラス壊す・酔った患者の家族が暴行、消防隊への妨害が5年で96件…東京消防庁
読売新聞 / 2024年9月20日 16時48分
-
4歌舞伎町で若い男女2人死亡 ホテルの外階段から転落か
毎日新聞 / 2024年9月20日 11時17分
-
5官僚に聞いた「首相になってほしい人物/なってほしくない人物」。“高圧的”と噂のある候補は軒並み不人気
日刊SPA! / 2024年9月20日 8時54分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください