「7pay」サービス廃止へ、不正アクセス被害者808人、被害総額3861万円

 セブン&アイ・ホールディングスは、バーコード決済サービス「7pay」を廃止すると発表。独自の調査で、今回の不正アクセスの手口を「リスト型アカウントハッキング」であるとしている。

■被害者は808人、被害総額は3,861万

 セブン&アイ・ホールディングスは8月1日、傘下のセブン・ペイが運営するバーコード決済サービス「7pay」の一部アカウントに対して不正アクセスが発生したことについて謝罪するとともに、同サービスの廃止を発表した。

 同社がまとめた、サービス開始からサービス廃止決定に至る経緯は以下のとおり。

7月 1日(月) サービス開始(セブン‐イレブンアプリ上に搭載)
7月 2日(火) 利用者より「身に覚えのない取引があった」旨の問合せ
7月 3日(水) 各社ホームページへ「重要なお知らせ」を掲載
        海外IPからのアクセスを遮断
クレジット/デビットカードからのチャージ利用を停止
7月 4日(木) 店舗レジ/セブン銀行ATMからの現金チャージ利用を停止
        新規会員登録を停止
7月 5日(金) 「セキュリティ対策プロジェクト」の設置
7月 6日(土) モニタリング体制の強化
7月11日(木) 外部IDによるログイン停止
7月30日(火) 7iDのパスワードリセットの実施
8月1日(木) サービス廃止を決定
9月30日(月) サービス廃止(予定)

 同社は不正アクセスに関して調査を進めた結果、7payについて、チャージを含めて全サービスを再開できるよう抜本的な対応を行うには時間がかかること。その間「利用(支払)のみ」という不完全な形で提供せざるを得ないこと。さらに、利用者の不安も考慮し、現在の7payのサービススキームに基づいたサービス提供は継続は困難である判断。7payは、9月30日の24:00をもって廃止される。

■被害者への対応、全利用者への払い戻し

 被害については「不正チャージ」と「不正利用」の双方が発生。以下の方法で個別に把握して、被害の認定を行っている。

・利用者からの直接の問合せ、照会があった場合の相互確認による認定
・カード会社からの情報連携による認定
・不正被害発生パターン同様の利用が確認されるケースの独自認定

 同社がまとめた直近の被害状況によると、被害者数は808人、金額では3,861万5,473円(7月31日17:00現在)となっている。7月中旬以降、新たな被害は確認されていない。

 被害者に対しては、不正チャージ、不正利用のいずれかにかかわらず、被害金額のすべてを補償する。まだ連絡をしていない利用者に、7payお客様サポートセンター緊急ダイヤル(0120-192-044 24時間・年中無休)まで問い合わせるよう呼び掛けている。

 また、被害にはあっていないが、7payのサービスを利用している人に対しては、サービス終了時点で未使用のチャージ残高について、法令上の手続きを経た後に、順次払い戻しを行う。払戻の詳細については別途明らかにされる予定。

■不正アクセスの手口「リスト型アカウントハッキング」

 今回の不正アクセスについて、セブン&アイ・ホールディングスと外部情報セキュリティ会社とが連携した「セキュリティ対策プロジェクト」が調査したところによると、原因は「攻撃者がどこかで不正に入手したID・パスワードのリストを用い、7payの利用者になりすましつつ、不正アクセスを試みる、いわゆる『リスト型アカウントハッキング』である可能性が高い」との結論に至った。

 また同プロジェクトは、「現時点で、外部ID連携・パスワードリマインダー、有人チャットによるパスワードリセット等の機能が、不正アクセスの直接の原因となった事例は見つかっておらず、内部からの流出についても、実査も含め、確認調査を行ったが、明確な流出の痕跡は確認できない」との見解を示している。

 主な原因が「リスト型アカウントハッキング」の可能性が高いと認識する一方で、同社は、こうした手口による犯行を防ぐことができなかった理由として3つの要因があると分析している。

@7payに関わるシステム上の認証レベルについて
開発当初から、さまざまな観点から議論、検証を進めたものの、最終的に「複数端末からのログインに対する対策」や「二要素認証等の追加認証の検討」が十分でなく、「リスト型アカウントハッキング」に対する防御力を弱めたと考えられる。

A7payの開発体制について
7payのシステムの開発にはグループ各社が参加していたが、システム全体の最適化を十分に検証できていなかった。この点について、今後さらに検証が必要。

B7payにおけるシステムリスク管理体制について
セブン・ペイにおける、リスク管理上、相互検証、相互牽制の仕組みが十分に機能していたか、今後さらなる検証が必要。

 セブン&アイ・ホールディングスは、今回の事案が発生するに至った「組織および意思決定等のガバナンス上の背景」を客観的に検証し、原因究明と再発防止策の策定などを行うため、弁護士を中心とする検証チームを設置。同チームによる結果検証を踏まえ、再発防止に向け、必要な対応を図るとしている。

 また、今後の安全確保について、同社はセブン-イレブンアプリや7payを利用するためのグループ共通のIDである「7iD」に関連する個人情報については明確な漏洩の痕跡は認められないことを確認したうえで、利用者に7iDとひもづいたさまざまなサービスを、引き続き安心して利用してもらうため、7月30日に7iDのパスワードリセットを一斉に実施している。

関連記事(外部サイト)