ダメだこりゃ… スマホ決済サービス「セブンペイ」不正アクセス事件は調べれば調べるほどアウトな案件
TABLO / 2019年7月12日 6時30分
セブン-イレブンのスマホ決済サービス「セブンペイ」が不正アクセスで大揺れです。7月1日から満を持してのスマホ決済参入でしたが、ふたを開けてみれば、7月4日で事実上の利用停止。わずか4日足らずでとん挫というのは、いくら何でも早すぎるでしょうに…。せっかく盛り上がってきたスマホ決済サービスに水を差してしまう事態に、業界全体も戦々恐々としているのではないでしょうか。
そこで今回はセブンペイの一連の事件についてまとめてみようかと思います。
まず、端的な事件のあらましは以下のような感じです。
【セブンペイ側の大まかな流れ】
・7月1日
セブンペイがスタート
・7月2日
SNSなどで不正アクセスの情報が浮上する
・7月3日
セブンペイ側が不正アクセス発生を把握して注意を喚起。また、クレジットカードとデビットカードのチャージを一時停止
・7月4日
セブンペイ運営会社の小林強社長が不正アクセスに対しての会見を行う。また、全てのチャージと新規登録の一時停止
・7月5日
経済産業省がセブンペイ運営会社とセブン&アイに原因究明の徹底、被害の拡大防止、再発防止策の策定を求める
【不正アクセスの大まかな流れ】
・7月2日
犯行グループが中国のメッセンジャーアプリ「ウィーチャット」で犯行の実行犯を募集する投稿を行う
・7月3日
募集に応じた中国人の男性が不正アクセスで入手されたIDやパスワードなどの情報を受け取り、電子タバコなどの高額支払いを行う。また、不審に思ったコンビニ側が警察署に通報
・7月4日
詐欺未遂容疑で中国籍の男性2人が逮捕される(翌日に書類送検)
この逮捕された男性2人のうち、1人は容疑を認める供述をしていて、指示役がいたことを証言しています。つまり、オレオレ詐欺の〝出し子〟みたいなポジションなわけで、犯行グループは痛くもかゆくもないわけです。
というか、犯行グループはセブンペイの利用がスタートした直後から動き出しているのですから、もう完全に狙われてますやん。だって、たった4日で被害総額が約5500万円というから、スタートに合わせて一気に仕掛けたんでしょう。セブンペイのスタートを待ち望んでいたのは、nanacoユーザーじゃなく、この犯行グループだったんだろうなぁ…。
ちなみに、犯行グループは国際サイバー犯罪に関与する中国組織が背景にいると推測されています。
参考記事:「児童ポルノ界で人気者になりたかった」 ダークウェブに会員制ロリコンサイトを作った男の末路 | TABLO
そんな不正アクセス事件ですが、原因はセブンペイのセキュリティの甘さにあると言われています。
セブンペイは既存のセブンイ-レブンアプリの更新版としてリリースされました。そして、セブンペイ登録のアカウントはセブン&アイホールディングスの共通ID「7iD」を利用できるシステム。
しかも、この「7iD」は「メールアドレス(アカウント名)」と「生年月日」と「電話番号」だけでパスワードをリセットできるんです。その上、パスワードをリセットした後で送られてくる確認メールの送信先を「別のメールアドレス」に指定できる機能がありました。
もっとわかりやすくいうと、この手のサービスには「パスワードを忘れたら?」みたいな救済措置がありますよね。つまり、「7iD」の会員IDやメアドが闇サイトなんかに漏れていたら、そこからパスワードリセットのページに入れます。そこで漏れていた生年月日とID(メアド)を打ち込んだ後、電話番号を何らかのソフトとかを使って「090」と「080」を総当たりして入力したら、パスワード変更の手続きが取れるということ。
関連記事:特殊詐欺事件裁判で明らかになった「受け子」の報酬 使い捨てにされる彼らに下る刑の重さとは? | TABLO
しかも、その手続き後に送られるパスワードリセットのためのメールが、登録したメールアドレスとは別アドレスを指定できるのですから、「こりゃ、ダメだわ」と素人でもわかります。
メディアでは、IDとパスワードの認証以外に、セキュリティコードなどで追加認証する「二段階認証」に対応していなかったことを盛んに非難されていますが、筆者個人としては、それ以前のセキュリティ意識の低さじゃないかと思います。
ちなみに、過去にはPayPayも不正アクセス事件が起こりましたが、こちらはクレジットカード情報(カード番号、有効期限など)が漏れて、それを犯人が自分のPayPayのカード情報に入力して不正利用されました。
つまり、クレジットカード登録時の本人確認が不十分だったわけです(現在は対策済み)。でも、セブンペイはパスワードを犯人に変更されて〝なりすまし〟されるという、サービスの根幹に原因があるというのが、なんとも厳しい…。
そんなセブンペイですが、7月11日の時点でサービス再開は未定(7月11日再開説がありましたが、セブン&アイが否定しています)。また、セキュリティの見直しと強化を謳っていますが、一度落ちた信用を取り戻すのは並大抵ではないでしょう。これについては、スマホ決済全体についても同じことが言えるでしょうし、これをきっかけに業界のセキュリティ意識を高めていかなければなりません。
そして、私たちもまた、IDやパスワード、二段階認証などのセキュリティ管理を再確認することが求められます。もちろんセブンペイのセキュリティはひどかったのですが、例えばパスワードを使いまわさないようにするとか、スマホ決済サービスが二段階認証などの基本的なセキュリティを導入しているかを確認するとか、きちんと知識を蓄えて、自分なりに対策していくことが重要です。
かなり面倒かもしれませんが、セブンペイは利便性を追求するあまりに二段階認証を採用しなかったり、パスワード変更作業を簡略化して不正アクセス事件につながりました。それを反面教師として、業界も私たちユーザーも、今後はセキュリティを高めるの手間を惜しまないようにしたいものです。(文◎百園雷太)※タイトル画像はhttps://www.7pay.co.jp/より
外部リンク
この記事に関連するニュース
-
楽天モバイルで「身に覚えのないeSIM再発行」の危険性 緩すぎる2つのプロセスは改善すべき
ITmedia Mobile / 2024年4月27日 6時5分
-
新生活シーズン、個人情報を狙う「フィッシング詐欺」に注意
PR TIMES / 2024年4月25日 20時15分
-
SMS&メールによる「フィッシング詐欺」横行 URLクリック→個人情報入力で不正利用の被害 国民生活センターが注意喚起
オトナンサー / 2024年4月23日 22時10分
-
楽天モバイルのスマホが乗っ取られる事案 同社が回線停止や楽天ID/パスワード変更などを呼びかけ
ITmedia Mobile / 2024年4月23日 18時48分
-
宅配業者からSMSで「不在通知」が来ていたけど、最近は何も宅配を頼んでいない…。料金を請求されることはありますか?
ファイナンシャルフィールド / 2024年4月10日 6時0分
ランキング
-
1幻の魚イトウの聖域に風力発電 原発相当計画に「最大級」の懸念
毎日新聞 / 2024年5月4日 6時0分
-
2696年後の日本は子ども1人?…推計の東北大教授「少子化で絶滅する最初の国になるかもしれない」
読売新聞 / 2024年5月4日 13時35分
-
3【速報】「脱炭素」実現に向け連携確認 日・ブラジル首脳会談
TBS NEWS DIG Powered by JNN / 2024年5月4日 0時49分
-
4岩田明子氏、「ウェークアップ」で自民党「3補選全敗」を解説…「党内からは次の衆院選挙では『岸田総理では戦えない』こんな声が公然と出ています」
スポーツ報知 / 2024年5月4日 10時52分
-
5参加する馬は去年の半数に…骨折した馬の殺処分に批判相次いだ『上げ馬神事』4日から壁を無くすなどして開催
東海テレビ / 2024年5月4日 12時34分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください