不正利用事件
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/07/14 10:00 UTC 版)
サービスイン翌日の2019年7月2日、7pay利用者より「身に覚えのない取引があった」と問い合わせがあり、7月3日に社内調査を行ったところ不正利用が発覚した。同時にセブン・ペイではクレジットカードやデビットカードからのチャージを一時停止した。7月4日18時5分からはサービスの新規登録も一時停止となり、同日にはすべてのチャージを一時停止した。 7月4日、警視庁新宿警察署は、他人の7payを不正に使用し、タバコを購入したとして中国籍の男2人を逮捕した。7月12日には、東京都千代田区内のセブン-イレブン店舗に勤務する中国人アルバイト従業員の女が、7payを不正に取得し決済したとして窃盗の容疑で警視庁の組織犯罪対策特別捜査隊に逮捕された。被害額は7月31日現在で808人のアカウント、38,615,473円に上り、これらの被害額についてはセブン&アイ・ホールディングスが全額補償する。 セブン・ペイ側は、7月4日の緊急記者会見で「事前にセキュリティー審査を繰り返し、脆弱性は指摘されなかった」と説明していたが、この時点で「7iD」に2段階認証やパスワード変更の通知機能が導入されていないことなど、認証システムに問題があると指摘されており、記者から2段階認証に関する質問を受けた際にも、それに社長は答えられなかった。また、経済産業省も一般社団法人キャッシュレス推進協議会が策定した『不正利用防止のためのガイドライン』が守られていなかったことを指摘した。 その後の調査で「7iD」が、外部IDでログインしている他人のアカウントにパスワードなしでログインして、なりすますことができたことが明らかになった。OpenID Connectなどの認証連携プロトコルで定めている、なりすましを防ぐためのチェック手順が実装されていなかったと推察されている。また「7iD」にログインした後に認証システムから取得できるユーザーデータの設計にも問題があり、ハッシュ化されたパスワードを含む広範な個人データを取得できたという。 セブン&アイ・ホールディングスは7月11日17時、7payのほかセブンネットショッピングなど7iD経由でアクセスする全てのサービスについてFacebook・Twitter・Google・Yahoo!・LINEの5つの外部IDによるログインを遮断した。 セブン&アイ・ホールディングスは8月1日、今回のトラブルの原因について「7payに関わるシステム上の認証レベルの問題」「7payの開発体制の問題」「7payにおけるシステムリスク管理体制の問題」とした上で、「現在の7payのサービススキームに基づきサービス提供を継続することは困難である」として、9月30日24時を以て7payのサービスを廃止すると発表した。未利用残高については、10月1日から2020年1月13日までの間に払い戻しに応じることとなった。 今後のキャッシュレス決済導入について、7pay廃止に伴うニュースリリースでは「グループ外で提供されるキャッシュレス決済の導入を進めることとしている」としつつも、同日行われた記者会見ではセブン&アイ・ホールディングスの後藤克弘副社長が「時期や内容は白紙」としながらも「当社は引き続きキャッシュレスサービスの可能性を探るとともに、快適に買い物ができる環境を整えていく」と述べるなど、独自のキャッシュレス決済再導入の可能性を否定しなかった。また、トラブルの要因の一つとなった 7iD についても「(外部IDログインの停止やパスワード強制リセットによるリスクの極小化により)7pay以外のサービスの利用では十分な(セキュリティ)レベルであることが確認できた」として使用を継続することを表明している。 セブン・ペイは2019年9月27日、口座振込等で7Pay残高の払戻しを行うと発表した。ただし、同年9月30日までにサービスを退会した利用者の払戻しには応じられないとしている。 その後、2020年8月にPayPayと提携し、セブン‐イレブン アプリにPayPayによるキャッシュレス決済機能を組み込むことを発表、2021年2月25日よりサービスを開始した。これにより本来は7Payで担う予定だったキャッシュレス決済及びセブン-イレブン アプリの会員コード読み取りのワンストップサービスが再び可能となった。
※この「不正利用事件」の解説は、「セブン・ペイ」の解説の一部です。
「不正利用事件」を含む「セブン・ペイ」の記事については、「セブン・ペイ」の概要を参照ください。
- 不正利用事件のページへのリンク