スマホ決済「7pay」で不正アクセス被害|セブンイレブンは「全額補償」を発表
コンビニエンスストア「セブンイレブン」を展開している「セブン&アイ・ホールディングス」は2019年7月4日、同社が今月1日から導入したスマホ決済サービス「7pay(セブンペイ)」が不正アクセスを受け、4日午前6時時点で「被害者約900人、合計金額約5,500万円」の被害が確認されていることを発表しました。同社はこの被害額を『全額補償する』と説明しています。
こちらから読む:大学運営費が仮想通貨投資で"無価値"に「国内」ニュース
被害者数は約900人、被害額は約5,500万円
セブン&アイ・ホールディングスは、2019年7月1日からスマホ決済サービス「7pay(セブンペイ)」をセブンイレブン約21,000店舗で導入しました。しかしその翌日には利用者から『身に覚えのない取引があった』との連絡を受けたため、調査を進めた結果、不正アクセスが発覚したと報告されています。
この不正アクセスでは、第三者が何かしらの方法で利用者のアカウントにアクセスし、本人になりすましてクレジットカードやデビッドカードでチャージを行い、店舗で商品を購入していたと説明されています。
報道では、アプリに登録している「ログインID」や「パスワード」がわかりやすいものだった場合や、クレジットカードを登録した際に設定した認証パスワードがログインパスワードと同じだった場合などに不正利用されているケースがあると報告されています。
「7pay」のアプリは他のスマートフォンを使用した場合でも「ID・パスワード」があればログインできる仕様となっているため、他のサービスで使用している文字列や推測しやすいパスワードを設定していた場合には、第三者に不正利用されてしまう可能性があります。パスワードの使い回しなどによって、不正アクセスを許してしまったケースも報告されているため、現在は注意喚起が行われています。
本日開かれた緊急記者会見では、「4日午前6時時点の被害者数が約900人、被害額は約5,500万円に達している」と報告されており、それらの被害額は全額補償すると説明されています。
「新規登録受付・チャージ機能」を停止|決済は利用可
記事執筆時点では「7payへの全てのチャージ機能」が停止されており、「新規登録受付」も停止されています。調査の結果、不正アクセス元の大部分が"海外のIPアドレス"であることも判明したため、現在は海外からのアクセスも遮断していると説明されています。不正アクセスの原因については現在も"調査中"とのことです。
新規登録とチャージ機能は停止されているものの、「すでにチャージ済みの残高」を用いた決済は現在も利用できると説明されています。同社はこの理由として「クレジットカードによるチャージを停止した2日以降は、多額の不正が相当減っており、不正検知システムも当初より精密に運用しているため、利用者の利便性などを考慮した上で"チャージのみ"を一時停止している」と説明しています。なお、今後さらに不正アクセスによる被害を受けた場合でも「被害額は全て同社が補償する」とのことです。
現金を使用しない「キャッシュレス化」の動きは、近年日本でも急速に加速してきていますが、それと同時にシステムの脆弱性を狙った犯罪行為は未だに行われています。今後もキャッシュレス化の動きは進んでいくことになると予想されますが、その一方では以前として犯罪行為の問題も残されているため、実際にこれらのサービスを利用する場合には、パスワードの設定・管理なども含めて十分に注意が必要です。