決済サービス「7pay」の不正利用は全額補償へ!サービスは継続 |
セブン&アイ・ホールディングスは3日、同社がコンビニエンスストア「セブン-イレブン」にて7月1日より導入している独自のスマートフォン(スマホ)など向けコード決済サービス「7pay」において不正アクセス・不正利用が行われた件で緊急記者会見を実施して被害状況や今後の対応について説明しました。
同社の試算では7月4日6時時点で不正アクセスと疑われるアカウントは約900人で、不正利用で決済された金額は約5,500万円だとのこと。ただし、試算は実際に被害連絡があったものではなく、1万円以上をチャージをした同日にほぼ全額の支払いをしたケースを基にしているということです。
なお、不正アクセスに使われたIDはすでに凍結しており、合わせてクレジットカードおよびデビットカードによるチャージに加えてセブン‐イレブン店頭やセブン銀行ATMでの現金チャージ、nanacoポイントからのチャージも含めてすべてのチャージを一時停止し、7payの新規登録も停止しています。
7payはセブン-イレブンで支払いが行えるコード決済で、スマホなど向けアプリ「セブン-イレブンアプリ」を用いて利用し、7payの導入に合わせてセブン-イレブンアプリをリニューアルしていました。今回の不正アクセスおよび不正利用などの被害は、このセブン-イレブンアプリの仕様における脆弱性を突かれた形となると見られます。
具体的には7payで利用するアカウントサービス「7iD」のパスワードを再設定がメールアドレス(会員ID)および生年月日、電話番号を知っていると、第三者のメールアドレスにもパスワードを再設定するためのメールを送れてしまうほか、ケースによっては生年月日や電話番号も必要なく登録したメールアドレスだけわかれば良い場合もあるとのこと。
これにより、仮に7iDで他で利用していないパスワードを設定したとしても上記の個人情報を知っていれば再設定によって不正アクセスできてしまい、すでにチャージされている金額は不正利用できるほか、クレジットカードなどを登録していれば、さらにチャージして不正利用されてしまいます。
もちろん、パスワードを含めた個人情報が他の漏洩などで知られており、不正アクセスされたケースもあるかもしれませんが、パスワードがわからなくても不正アクセスできてしまう仕様となっていたのは被害が拡大した要因だと推測されています。
なお、同社ではパスワードの再設定を登録したメールアドレス(会員ID)以外に送付できないようにしたとしているものの、フォームの該当項目をスタイルシート(CSS)などで非表示にしているだけで、根本的な解決にはなっていないと指摘されています。同社では7月3日までに7payに150万人強が登録したとしています。
また不正利用されて被害に遭った場合については全額を補償することを明らかにしました。この点についてはクレジットカード会社からの補償も含めてどのように補償するかは個別に案内するとのこと。その他、今回の不正アクセスおよび不正利用の問題について原因追及を徹底的に行い、抜本的な解決に向けて改善策を図っていくとしています。
■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX – Facebookページ
・7pay 関連記事一覧 – S-MAX
・一部アカウントへの不正アクセス発生による チャージ機能の一時停止について | 7pay – セブン‐イレブンで使えるスマホ決済
・チャージ機能の一時停止に関するお知らせ | 7pay – セブン‐イレブンで使えるスマホ決済
・7pay – セブン‐イレブンで使えるかんたんスマホ決済
(引用元:livedoor news)