2019年7月1日にサービスを開始した7Pay(セブンペイ)だが、9月末にサービスを終了することを明らかにしました。
開始直後から相次ぐ不正利用が発覚し、7月31日には残高がゼロになったというユーザーもいました。
相次ぐトラブルにともない、8月1日の午後にもサービス終了の発表を行う予定です。
目次
7Pay不正利用事件とは?
2019年7月1日にサービスが開始されたのだが、翌2日には不正利用が報告されていました。
不正利用の内容は以下の通りです。
- アカウントが他者に不正にログインされる
- 第三者による7Payの不正利用(入金したお金が使用される)
- 第三者による登録したクレジットカードからの入金
7月31日時点で確認されている被害者は808人、被害総額は3861万5473円という甚大な被害が出ています。
パスワードのリセットから残高が0に!
7月30日13時~16時にかけて、セブン&アイ・ホールディングスはグループの共通アカウントである7iDユーザーのパスワードを一斉にリセットしました。
外部への情報流通を防ぐ目的で行われ、対象者は約1650万人にのぼります。
パスワードのリセットを受けたユーザーは再度自分でパスワードの再設定を行うのですが、ここで問題が生じました。
https://twitter.com/yoko_thumugi/status/1156162370399399936
セブンイレブンのアプリのバッジ
パスワードリセットで初期化された。
問い合わせたら返信来たけど
えっ、何コレ!
テメーで問い合わせろって事?
勝手に初期化しといて
問い合わせしなかったらそのまま放置?
そっちで復旧させるのが当たり前なんじゃないの?#セブンイレブンアプリ pic.twitter.com/G1CuhbKDb0— 「井の中の蛙大海を知らず、されど空の青さを知る」 (@29751256a) July 31, 2019
夕方にパスワード変更しろと、突然なった。やっとメール来て再設定出来たと思ったら初期化?バッチもクーポンも全てゼロから…なんだそれ。
明日から頑張ってまた貯める?
もうやらねーわ。#セブンイレブン#セブンイレブンアプリ— HI-DN (@HIDN82705742) July 30, 2019
今まで貯めた物が全部消えた。
ナナコの金も少し残ってたのに、どこ行った⁈
パスワード変更しろっていうから忙しい中したら 全部新規なってる。
ふざけたことしやがってよ!何回電話してもぜんぜん繋がらない。
セブンイレブンジャパンは夜逃げしたのか⁈— RYO (@MayhemRyo) July 31, 2019
これまで貯めていたバッジやマイル、使おうと思っていたクーポンがすべて消失し、7Payの残高も0になるユーザーが!
会社は個別に対応していくとしていますが、カスタマーセンターに問い合わせが殺到しており、対応ができていないのが現状です。
また、これまで貯めたバッジやクーポンなどのサービスについてのお詫びなどがまだされておらず、不信感を抱いているユーザーが数多くいます。
9月末で7Pay終了にあたって会見を行う
運営開始からわずか1ヶ月でサービス終了の発表をしたセブン&アイ・ホールディングス。
8月1日の15時から緊急の記者会見を行いました。
会見に登壇したのは、セブン&アイ・ホールディングスの後藤副社長、セブン&アイ・ホールディングスのネットメデイア社長、デジタル推進総責任者、7Payプロジェクト担当者の4人です。
今回、社長ではなく副社長が会見に臨んだのは、7Payについての責任者が副社長にあたるからだそうです。
会見の質疑応答まとめ
Q:調査の結果、不正アクセスはリスト型アカウントハッキングと判明したが、なぜそのように結論づけたのか?
A:まず、はじめにIDのエラーが大量発生したのち、パスワードのエラーが増えました。その後に不正のチャージが増えたことから、不正に入手したアカウント情報を使ってハッキングしていると結論づけました。
Q:7Payではなにかトラブルが起きた時のための保険に入っていたのか?
A:保険には入っていません。サービスを開始してから検討をしようとしていたところでした。
Q:利便性を追求した結果、二段階認証などについてのセキュリティが甘くなったのではないか
A:1つ目の認証の後にモニタリングをしていくことでカバーができると考えていた。
Q:経営責任についてはどのように考えているのか
A:原因の追究と再発防止に努めること、セキュリティレベルを上げていくことが、経営者としての責任と考えている。
Q:経営者が処分もないのかいかがなものか
A:外部の弁護士を中心にどこに問題があったのかを調べ、取締役会で報告している。その結果に基づき、処分が下ることもあると思うが、今は辞任については考えていません。
Q:7iDパスワードのリセットと7Payの利用停止発表までが短時間だったが、何かあったのか
A:7iDのパスワードと7Payについては全く別のものなので、このタイミングになってしまったことに理由はありません。7iDのパスワードリセットについては準備に時間がかかったので7月30日になってしまいました。
Q:利用履歴などの個人情報の漏洩や、クレジットカード情報の流出はあったのか?
A:なりすましでの情報漏洩については現時点で確認されていません。クレジットカードの情報についても流出はありません。
Q:運営会社の7Payはどうなるのか?
A:7Payサービスは廃止するが、会社は存続させるつもりです。
セキュリティの甘さと慢心が招いた事件
今回の会見を見て、セブン&アイ・ホールディングスの慢心が招いた結果だと思いました。
電子マネーのnanacoカードが問題なく運営できており、セブン銀行などの決済サービスについてこれまで問題がなかったので、これまでのセキュリティ認識で大丈夫だという慢心があったのだと思います。
保険には7Payの運用が始まってから考えるということや、認証は二段階にしなくても、ユーザーのモニタリングで十分間に合うと思っていたところ、そして、7iDと7Payのパスワードを共通にできるシステムになっていたこと、すべてに危機管理の甘さが現れています。
また、開発についても金融チームとアプリ開発チームがそれぞれに個別で開発をしており、チーム内では最適な内容になっていたそうですが、トータルで束ねて見ることができなかったそうです。
今後もキャッシュレス決済やデジタル戦略について、まだまだ可能性があるので検討し、開発していきたいと語っていますが、一度失われた信頼を取り戻すことはとても難しくなります。
会見では7iDのセキュリティの高さを強調していましたが、先日のパスワードリセットに対するユーザーの損失などはどのように対応していくのでしょうか。
今後のサービスの改善や対応について課題が残ります。
コメントを残す