ニュース

セブンペイ、安全性に問題があるもサービスは継続[チャージと登録のみ停止]

記事のポイント

  • セブンペイ、不正アクセスもサービス停止せず
  • 二段階認証存在せず、乗っ取りが容易な状態
  • セブンペイでの株価への影響は限定的

株式会社セブン&アイ・ホールディングスは、同HD傘下の株式会社セブン・ペイが運営するバーコード決済サービス[pay(セブンペイ)]の一部アカウントが第三者による不正アクセスの被害を受けたことを受け、チャージ機能を一時停止することを発表した。だが、すでに不正アクセスによってチャージされた金額は利用できる状態であり、問題の根本的な解決にはなっていないことが指摘されている。

 

セブンペイ、チャージ機能の停止

74日、株式会社セブン&アイ・ホールディングスは、同HD傘下の株式会社セブン・ペイが運営するバーコード決済サービス[pay(セブンペイ)]の一部アカウントが第三者による不正アクセスの被害を受けたことを受け、チャージ機能を一時停止することを発表した。不正利用が発覚した3日には、クレジットカードやデビットカードからのチャージ停止を発表していたが、今回はセブンイレブン店舗レジやセブン銀行ATMでの現金チャージ、nanacoポイントからのチャージも含めすべてのチャージ機能を一時停止。さらに同サービスへの新規登録についても停止することを発表した。

  • キャッシュレス決済 クレジットカードやデビットカード・電子マネーやスマホのQRコードなど、現金を利用せずに決済を行う方法。すべての記録が残り、決済業者で確認できるために不正や悪用対策が取りやすくなる。また記録が残ることで分析が行いやすくなり、よりよいサービスの向上、不正に対する適切な対応が取りやすくなるとされている。

 

セブンペイでの不正アクセス

同サービスにおいては登録が必要なメールアドレスと生年月日さえ把握すれば乗っ取りを行うことが可能であり、他のスマホ決済サービスや銀行アプリでみられるような「二段階認証」「SMS認証」等のセキュリティ対策は設けられていなかった。さらに、iOS版の同サービスにおいては「生年月日」の情報を登録せずに利用することも可能であったため、悪意ある第三者からしてみればメールアドレスを入手するだけで、セブンペイの乗っ取りが可能な状況となっていたのである。

<時系列>
  • 72日 身に覚えのない取引に関する問い合わせ
  • 73日 社内調査により不正利用が発覚→対応
  • 74日 全てのチャージ機能、新規登録機能を停止

4日時点で約900人、5500万円の被害になっている。

  • 二段階認証 2要素認証、多要素認証と呼ばれるもの。サービスへのログイン時にIDやパスワードだけでなく、別のサービス・情報を利用して本人確認を行う方法。代表的なものとしてはメッセージ(SMS)を利用したSMS認証や電子メールで送付される認証コード、他のアプリを利用するワンタイムパスワード等々がある。この二段階認証を設けることで、IDやパスワードが流出してもアクセスするのを防ぐことが可能となる。

 

不正アクセスに対する対策と対応の悪さ

この不正アクセスに関しては乗っ取りが行われて「すでにチャージが行われた」段階であるのにもかかわらず、同社が「チャージ機能を停止」することにとどめ、すでにチャージ済みの金額については利用できる状態であるために、これからも被害は拡大していくであろうことが予想されている。同社は「被害に合われたお客様にはすべての被害に対して保証を行ってまいります」と今後の対応を明らかにしているものの、事件の根本的解決は行われていないことから同社への信頼低下がみられている。

また、今回の不正アクセスに関しての会見が開かれたものの同社社長は記者の「なぜ二段階認証を導入しなかったのですか」という質問に対して「二段階認証?」と、セブン銀行という銀行業も行っているのにもかかわらず二段階認証という技術、セキュリティ対策として重要な技術に対する理解がないことが露呈したほか、「対応は遅くなかった」という認識を示したことで同社がこの事態の深刻さを正しく理解していないことが窺え、「セブンペイは利用しない方がいい」という認識が出来上がってしまっている。

 

まとめ

セブンペイの今回の問題は社内調査を行い不正アクセスが起きている事態を把握しながらもサービス提供を停止しなかったこと、責任者が正確に事態を理解できていないことが挙げられる。10月には消費税増税に合わせ、キャッシュレス決済での決済時はポイント還元が行われ、この時期までにサービスをリリースすることが国内でサービスを軌道に乗せるに重要なポイントでもあるとされているが、今回のセブンはこのリリース時期に合わせるためにセキュリティ対策を犠牲にしたのではないかとみられる。記者会見では特に有用な情報は存在しなかったことからも同社への今後の対応に期待する声は少ない。

 

関連記事

 


参考:株式会社セブン&アイ・ホールディングス[7pay(セブンペイ)一部アカウントへの不正アクセス発生によるチャージ機能の一時停止について]

関連記事

  1. 暗号通貨経済を握るのは?[キーワードはイギリス・島国]

  2. 昨日(2/18)のニュースまとめ

  3. AsicBoostの脆弱性を利用した不正マイニングが発覚

  4. 分散型社会と規制

  5. ロシア、資金洗浄対策規制改定[暗号通貨関連取引]

  6. Google、マイニング拡張機能を全面禁止

PAGE TOP

コラム

ドル円 鉄板【R-1】発動‼ “仏のR特別講義”

コラム

海外FXブローカーは非常事態を待っている‼

ニュース

Huobi,レバレッジ取引サービス開始へ

ニュース

ビットバンク、スマホでの本人確認に対応[システムはシンプレクスが担当]

ニュース

利殖勧誘事犯、増加傾向[詐欺の手口を確認]

ニュース

FATF声明発表[対策に非協力的としてイラン・北朝鮮を名指し]

ニュース

楽天ウォレット、暗号資産証拠金取引サービス開始[法改正]

ニュース

昨日(3/26)のニュースまとめ