2019年7月、7pay(セブンペイ)で不正利用が発生

キャッシュレス化

7pay(セブンペイ)で不正利用が発生

2019年7月1日より、スマホによるキャッシュレス決済の「7pay(セブンペイ)」がサービス開始しましたが、開始後わずか1~3日で多数の不正利用が発生しました。

株式会社セブン・ペイの公式発表によれば、7月4日現在で不正アクセスの被害者は約900人、被害額の合計は約5500万円とのことです。(追記:7月16日時点の発表では、被害者1574人、被害金額は約3240万円とのことです)

同社の調査では、不正アクセス元のほとんどが海外IPだったとのことですから、海外に拠点を置く個人、または、グループによる犯罪なのかもしれません。

何が起きた?

2019年7月1日から4日頃にかけて、7payのアプリユーザーに「身に覚えのない」利用通知が届くケースが約1000件発生しました。調査により、何者かが7payの一部のアカウントに不正にアクセスして、支払いなどに不正に利用されていたことが分かりました。

具体的には、7payに登録したクレジットカードから、本人の知らないうちに残高チャージが行われ、その残高で身に覚えのない支払いが行われていました。

  • 7月1日(月)…… 7payサービス開始
  • 7月2日(火)…… 7pay利用者からセブン・ペイに、「身に覚えのない取引があった」という旨の連絡が入り始める
  • 7月3日(水)…… Twitterなどで不正利用の報告が相次いだことで、インターネット上で話題になる
  • 7月4日(木)…… インターネット上では「パスワード再設定のアドレスを任意のメールアドレスに送れてしまう仕様設計が問題では?」と原因が推定される

ログインIDとパスワードが漏洩した原因は何か?

7payの一部のアカウントが不正利用されてしまったのは、ログインIDとパスワードが漏洩していたことが原因ということで間違いないようです。

では、なぜログインIDとパスワードが漏洩していたのかについては、現時点ではセブン・ペイからの公式発表はありません。

インターネット上では「パスワード再設定のアドレスを任意のメールアドレスに送れてしまう仕様設計が問題では?」と原因が推定されています。

7payの仕様設計に問題があった説

現時点では推測に過ぎませんが、7payの仕様設計に問題があった説について考察してみます。

7payは、支払い用のアプリを自分のスマホにインストールして利用するキャッシュレスサービスです。

7payアプリには、ログイン用のパスワードを忘れた人向けに、「パスワードを忘れた場合」という画面が用意されています。これは、パスワード再設定ページをメールで連絡するための画面です。

この画面内にある[送付先メールアドレス]の欄には、任意のアドレスを指定できるようになっていますが、この仕様は素人目に見ても大きな問題があると感じます。

この仕様では、[生年月日]、[電話番号]、[7payに登録したメールアドレス]さえ分かれば、パスワード再設定ページのアドレスを、任意のメールアドレスに向けて送信できてしまいます。第三者が勝手にパスワードを再設定できてしまうなら、アカウントの乗っ取りも可能なはずです。

同グループの通販サイト『オムニ7』のシステム設計について

同グループの通販サイト『オムニ7』のシステム設計についても同様の問題があったようです。

以下のブログでは、「登録していないアドレスにもパスワード再発行アドレスが送れてしまう」問題について言及されています。

https://www.kaesakura.com/2019/07/omni7-7id-password/

その指摘に反応したのかどうか分かりませんが、2019年7月4日(木)のAM8:00頃には「送付先メールアドレス」の欄がありましたが、同日のAM11:30頃には削除されています。

【2019年7月4日のAM8:00頃の画面】

【2019年7月4日のAM11:30頃の画面】

プログラム内部の仕組みまでは確認できないので詳しいことは分かりませんが、このタイミングで何らかの修正が行われたことは確かです。

7月4日の夜には、7payアプリの画面も修正された

7月4日の夜には、7payアプリの画面も修正されています。

一連の修正対応から言えることは、少なくとも「任意のアドレスにパスワード再発行アドレスが送れてしまう」という仕様設計には問題があったということでしょう。

すでに被害に遭ってしまった場合にはどうすれば良い?

7payで身に覚えのない取引があった場合、株式会社セブン・ペイは以下のことを呼びかけています。

  • 7payお客様サポートセンター緊急ダイヤル 0570-012-113(24時間・年中無休)へ連絡する
  • 不正に利用された可能性のあるクレジットカードの発行会社へ連絡する
  • 最寄りの警察署へ被害があった旨を相談する

7pay(セブンペイ)は、2019年9月30日(月)をもってサービス廃止

7pay(セブンペイ)は、2019年9月30日(月)をもってサービス廃止されました。新規登録はもちろんですが、チャージ、支払いを含めて全てのサービスが終了します。7pay残高については9/30(月)23時59分まで利用可能です。

10/1(火)以降は、7pay残高は払い戻しでの対応となります。払い戻し申出期間は、2019年10月1日(火)~2020年1月10日(金)です。払い戻し方法などの詳細は公式サイトを確認してください。

https://www.7pay.co.jp/