スマホ決済「7pay」が9月30日に廃止! 「サービス継続が困難という結論に至った」~不正アクセスの原因はリスト型ハッキング。サービス終了時点の残高は払い戻し
セブン&アイ・ホールディングス傘下のセブン・ペイが1日、独自のバーコード決済サービス「7pay(セブンペイ)」を、2019年9月30日(月)24:00をもって廃止すると発表しました。なお、サービス終了時点で未使用のチャージ残高については、法令上の手続きを経た後に、順次払い戻しするとのこと。なお、払戻の詳細については別途案内するとしています。
セブンペイ、9月末で終了へ(共同通信)https://t.co/KEoxTQHVHJ
— ヒャダイン こと 前山田健一(39) (@HyadainMaeyamad)August 1, 2019
RT@HyadainMaeyamad: 本日7/1からサービス開始!セブンイレブンで使える決済サービス「7PAY」こちらの決済音を担当させていただきました!全国のセブンイレブンで流れると思うと感動です!https://t.co/sMWFnYSr79
「7pay」は、7月1日(月)サービス開始直後から、一部アカウントに対する不正アクセスが発生。不正アクセスについて、同社では「セキュリティ対策プロジェクト」を立ち上げ、被害状況の把握と発生原因の調査を進めるとともに、今後の対応等を含めた検討を重ねてきたとのこと。
その検討結果を踏まえ、「7payについて、チャージを含めて全てのサービスを再開するに足る抜本的な対応を完了するには相応の期間を必要とすると想定される」、「その間、サービスを継続するとすれば『利用(支払)のみ』という不完全な形とせざるを得ない」、「当該サービスに関し、消費者は依然として不安を持っている」ことから、現在の7payのサービススキームに基づいたサービス提供を継続することは困難であるという結論に至ったとしています。
『7payのサービスに関わる経緯』
7月 1日(月) サービス開始(セブン‐イレブンアプリ上に搭載)
7月 2日(火) 利用者より「身に覚えのない取引があった」旨の問合せ
7月 3日(水) 各社ホームページへ「重要なお知らせ」を掲載
海外IPからのアクセスを遮断
クレジット/デビットカードからのチャージ利用を停止
7月 4日(木) 店舗レジ/セブン銀行ATMからの現金チャージ利用を停止
新規会員登録を停止
7月 5日(金) 「セキュリティ対策プロジェクト」の設置
7月 6日(土) モニタリング体制の強化
7月11日(木) 外部IDによるログイン停止
7月30日(火) 7iDのパスワードリセットの実施
8月 1日(木) サービス廃止を決定
9月30日(月) サービス廃止(予定)
直近の被害状況は808人、38,615,473円(7月31日 17:00現在)で、7月中旬以降、新たな被害は確認されていないとのこと。なお、被害は、不正チャージおよび不正利用の双方を含んでおり、「直接問合せ、照会をされた場合の相互確認による認定」、「カード会社からの情報連携による認定」、「不正被害発生パターン同様の利用が確認されるケースの独自認定」で認定しています。
なお、不正チャージおよび不正利用のいずれかに拘らず被害金額のすべてを補償するとしています。各カード発行会社とも協力して、カード支払日までに当該チャージ分の引き落としがかからないよう、順次7payで対応を進めているとのこと。念のため、カード会社からの利用代金明細、および銀行口座からの引き落とし状況を確認するよう呼びかけています。
今回の不正アクセスの手口は、捜査当局による捜査が引続き行なわれているものの、外部情報セキュリティ会社と連携した「セキュリティ対策プロジェクト」の調査では、攻撃者がどこかで不正に入手した ID・パスワードのリストを用い、7pay の利用者になりすましつつ、不正アクセスを試みる、いわゆる「リスト型アカウントハッキング』である可能性が高い」との結論に至っているとのこと。
一方で、同じく「セキュリティ対策プロジェクト」では、「現時点で、外部ID連携・パスワードリマインダー、有人チャットによるパスワードリセット等の機能が、不正アクセスの直接の原因となった事例は見つかっておらず、内部からの流出についても、実査も含め、確認調査を行なったが、明確な流出の痕跡は確認できない」との結果を取り纏めているとしています。
主原因は「リスト型アカウントハッキング」の可能性が高いと認識する一方で、同社は、こうした手口による犯行を防ぐことができなかった理由として大きく3つの要因があるとしています。
1) 7payに関わるシステム上の認証レベル
2) 7payの開発体制
3) 7payにおけるシステムリスク管理体制
【1) 7payに関わるシステム上の認証レベルについて】
開発当初より様々な観点から議論、検証を進めたものの、最終的に「複数端末からのログインに対する対策」や「二要素認証等の追加認証の検討」が十分でなく、「リスト型アカウントハッキング」に対する防御力を弱めたと考えているとのこと。
【2) 7payの開発体制について】
7payのシステムの開発には、グループ各社が参加していましたが、システム全体の最適化を十分に検証できていなかった点が今回の事案を引き起こした原因の1つではないかと認識しており、この点について、今後、更なる検証が必要と考えているとのこと。
【3) 7payにおけるシステムリスク管理体制について】
セブン・ペイにおける、リスク管理上、相互検証、相互牽制の仕組みが十分に機能していたか、今後更なる検証が必要と考えているとのこと。
同社は、本事案が発生するに至った「組織および意思決定等のガバナンス上の背景」を客観的に検証し、原因究明および再発防止策の策定等を行なうため、弁護士を中心とする検証チームを設置。今後は、検証チームによる結果検証を踏まえ、再発防止に向け、必要な対応を図っていくとしています。
また、「セキュリティ対策プロジェクト」において、「セブン-イレブンアプリや7payを利用するためのグループ共通のIDである7iDに関連する個人情報については、明確な漏洩の痕跡は認められない」ことを確認しており、同社グループの7iDと紐づいた様々なサービスを、引き続き安心して利用してもらうため、7月30日(火)に7iDのパスワードリセットを一斉に実施。今回の事案に関連し、ID・パスワードが不正に取得されていたとしても、このリセットにより、リスクを極小化することが出来ると考えているとしています。
同グループでは今後の決済サービスへの取り組みとして、「今般、7payのサービスが大規模な不正アクセス攻撃を受けることとなった事態を真摯に受け止め、当該サービスの廃止を決定いたしましたが、キャッシュレス化への社会的ニーズはきわめて高く、そのニーズへの対応は今後ますます重要性を増していくと考えております。このため、グループ外部の様々な決済サービスとの連携を積極的に推進することで、こうした社会の要請にしっかり応えつつ、より広範なお客様にキャッシュレスサービスを提供していく」としています。