セブン&アイ・ホールディングスは2019年7月3日、傘下のセブン・ペイが運営するモバイル/バーコード決済サービス「7pay」の一部アカウントが、第三者による不正なアクセスの被害を受けたことを発表した。不正アクセスが疑われる人数・金額の試算は約900名/約5500万円で、今回の不正アクセスによるすべての被害に対して補償を行うとしている。
7payは2019年7月1日にサービスが開始されたばかりのモバイル/バーコード決済サービス。コンビニエンスストア最大手セブン-イレブンの“謹製”サービスとして、多大な注目が集まる中で始動したが、早々に情報セキュリティ上の不備が露呈することとなった。
画面1:「7pay」Webサイトのトップページで注意喚起がなされている拡大画像表示
セブン&アイ・ホールディングスは、7payへの不正アクセスによる被害内容を、「第三者が何らかの方法で7pay利用者のアカウントにアクセスし、本人になりすまし、登録されたクレジットカードおよびデビットカードを通じて当該アカウントにチャージを行い、セブン-イレブン店舗において商品を購入する等といったもの」 と説明している。
「何らかの方法で」とあるが、7payの会員登録はアカウントIDとパスワードさえあれば行える状態になっていて、携帯電話のSMS認証などと合わせる2段階認証を採用していなかった。そのため、ブルートフォースアタック(Brute-force attack:総当たり攻撃)などの手段によって、なりすましによる不正アクセスが比較的容易に行える状態にあった。同社が公表している発生の経緯は以下のとおり。
2019年7月2日:7payサービスの会員顧客より「身に覚えのない取引があったようだ」との問い合わせが入る。
同年7月3日:社内調査を実施した結果、不正利用が発覚。お客様サポートセンター緊急ダイヤルを設置。7payのWebサイトでID・パスワード管理の注意喚起を掲載。クレジットカードおよびデビットカードによるチャージ機能を停止。
同年7月4日:7payの新規登録の停止およびすべてのチャージ機能を停止。
不正アクセスが疑われる人数・金額の試算は約900名/約5500万円で、今回の不正アクセスによるすべての被害に対して補償を行うとしている。
