2019年8月2日8:46
セブン&アイ・ホールディングスは、2019年8月1日に記者説明会を開催し、傘下のセブン・ペイが運営するバーコード決済サービス「7pay(セブンペイ)」において、抜本的な対策には時間がかかることから、2019年9月30日24:00をもって同サービスを廃止すると発表した。
被害金額のすべてを補償へ
不正は「リスト型アカウントハッキング」の可能性が高いと説明
セブンペイは、7月1日にセブン‐イレブンアプリ上に搭載することでサービスを開始したが、スタート直後から不正アクセスが相次いだ。セブンペイでは、利用者からの報告、クレジットカード会社等との連携で不正被害額の特定を進めてきたが、7月31日17時現在の被害状況は、808 人、3,861万5,473 円となっている。同社では、不正チャージおよび不正利用のいずれかに拘らず被害金額のすべてを補償する。
今回の不正アクセスの原因について、外部セキュリティ会社との連携では、「攻撃者が どこかで不正に入手したID・パスワードのリストを用い、7pay の利用者になりすましつつ、 不正アクセスを試みる『リスト型アカウントハッキング』である可能性が高い」とした。リスト型アカウントハッキングの要因として、ID入力のないエラーの後、パスワードエラーが起き、不正なチャージが行われたという報告があったそうだ。また、ログインパスワードがチャージ用パスワードと同一だったという声をもらったとした。
リスト型攻撃を防げなかった理由として、同社では、①7payに関わるシステム上の認証レベル、②7payの開発体制、③7payにおけるシステムリスク管理体制の3つを挙げた。システム上の認証レベルとしては、「複数端末からのログインに対する対策」や「二要素認証等の追加認証の検討」が十分でなかったとした。また、開発体制として、グループ各社が参加していたが、複数のサービスにまたがっり、金融チーム、アプリチームと別れていたため、システム全体の最適化を十分に検証できていなかった。
リスク管理体制として、リスク管理上、相互検証、相互牽制の仕組みが十分に機能していたか、今後さらなる検証が必要と考えているとした。
なお、クレジットカードに関しては、外部の決済処理事業者に委託しており、同社では保持していないという。そのため、カード情報の漏洩はないそうだ。
7iD に関連する個人情報は漏洩の痕跡はなし
nanaco自体の還元率も見直しへ
被害者に対しては、今後とも運営会社である セブン・ペイを中心にグループとして、対応を進める。また、グループ共通のID である 7iD に関連する個人情報については、明確な漏洩の痕跡は認められなかったが、7月30日に 7iD のパスワードリセットを一斉に行った。
セブン&アイ・ホールディングスの金融ビジネスとして、2001年には、セブン銀行のATMサービスをスタートし、続けてクレジットカード事業に参入。2007年には、電子マネー「nanaco」のサービスを開始した。今年はキャッシュレス社会の高まりやバーコード決済の普及、顧客利便性向上に向けて、セブンペイを開始した。
今回の不正アクセスを受け、セブンペイは廃止するが、今後もさまざまなキャッシュレス決済の可能性を探るとともに、グループ外部のさまざまな決済サービスとの連携を積極的に推進していきたいとした。セブンペイの開始も見込んで、発行6,000万枚を超えるnanacoのポイント還元率も100円で1ポイントから、200円で1ポイントに変更しているが、今後はnanaco自体の還元率も見直す予定だ。スマホ決済については、今後も検討はしていくという。
