7pay不正アクセスでどんな被害?報告内容のまとめや対策を調査!

7月1日から7pay(セブンペイ)というセブンイレブンのスマホ決済サービスが始まりましたが、開始3日で不正アクセスの被害報告が相次ぎ話題になっています。
7payの利用開始日には、アクセスが集中しすぎて一時アクセスが出来ないほど期待のサービスでしたが、一体何があったのでしょうか。
実際に7payの不正アクセエスでどんな被害にあったのか、被害報告の内容をまとめて紹介したいと思います。
また不正アクセスの被害にあわないための対策なども調査したので、わかったことを紹介していきますね。
7pay(セブンペイ)の簡単紹介
まずは7payがどういうサービスなのか簡単に紹介しますね。
7payとは、セブンイレブンのスマホアプリから簡単に登録できて、全国のセブンイレブンで利用できるスマホ決済サービスです。
セブンイレブンで買い物をした際に、スマホでお支払い画面のバーコードを表示し店員さんにスキャンしてもらってお支払いが完了できる大変便利なサービスですね。
更にnanacoポイントも貯まる・使える、ととてもオトクなサービスにもなっています。
財布を持たずに買い物に行けるようになるなんて、とても便利になるサービスだなと思いますね。
7pay不正アクセスでどんな被害?報告内容まとめ
7payの利用が開始されて3日目にして不正アクセスによる不正利用被害が発生したようです。
しかも不正アクセスにあったという被害報告が続出しているとして話題になっていました。
実際にどんな被害にあった人がいるのか、調べてみました。
#7pay被害 かなりヤバイ40万円取られた!証拠のビデオ公開します。クレジットカードを登録しないように!
被害を少しでも抑え込むために拡散して下さい pic.twitter.com/PCktwL54eF— シェアバー (@Sharebars) July 3, 2019
7payアカウント乗っ取り被害に会いました。
昨日利用登録及び決済クレジットカード情報登録した後5000円チャージした「7pay」で、今朝8時01分から08時40分の間に、合計6回、19万円のクレジットカードからの不正チャージと、直後に東京都内で合計2回の高額決済が行われた。— Tack C. Mizoguchi (@ttack1122) July 3, 2019
今回わたしは他の被害者さんと全く質の違う被害なんだけど何が違うかというと、わたしはセブンアプリもセブンペイも登録してないんだよね
勝手に他人がわたしのアドレスで登録したの
で勝手にわたしのアドレスで登録したアカウントで勝手にチャージまでしたの!#7PAY— CANDY (@CANDY__SPECIAL) July 3, 2019
ちなみに私のチャージは1分以内に3回やられてますよ
どんだけ手練なんだと pic.twitter.com/xu8joIgDez
— めるかば (@methuselah3) July 3, 2019
7pay不正利用問題。私の場合には75,000円カードからチャージされたところで止められたので、7payがチャージ金額をカードに戻してくれれば被害はゼロなのですが、7pay側が警察に被害届を出さないとカードに戻さないと言っています。しかも7payは止められ、チャージ金額を私も使えません。(泣)
— 藤川大祐 (@daisukef) July 3, 2019
7Payは、omni7…じゃない、7iDののID/パスワードだけでログインできてしまうので、リスト型攻撃に拾われましたね…。
せめてアカウントと携帯電話番号SMS認証を活用した紐付けをする実装にしておけば少し不正使用ハードル上がったろうに…。 https://t.co/PewG1jQ3LE— 猫頭 (@nekogashira) July 3, 2019
7payの被害内容をまとめるとこんな感じですね。
- アカウントを乗っ取られカードから7payへチャージされ、そのまま決済に利用される
- メールアドレスを利用され勝手に登録される
いまのところ7payのアカウントを乗っ取られて、クレジットカードから金額をチャージされそのまま使われてしまうという被害が相次いでいます。
被害額も数万から数十万とかなり高額になっているので、これから利用を考えていた人は一旦この件が解決するまでは利用を控えたほうが安心かもしれないですね。
7pay不正アクセスへの対策は?
7payの不正アクセス被害が続出している件に対し、セブン&アイ・ホールディングスは、7月3日にクレジットカードとデビットカードによる電子マネーへのチャージ(入金)を一時停止しました。
そのため現在利用できるチャージ方法は『現金』か『nanacoポイント』からのみとなっています。
また、緊急サポートダイヤルも開設し対応しているようです。
そして、7payで利用するIDやパスワードは、他のwebサービスで使用しているものと同じ設定にしないように呼びかけています。
被害報告の中には、今まで使ったことのないIDやパスワードにしていても被害にあったという人もいるようなので、まずはこの件が解決するまでは利用しないのが1番安心かもしれないですね。
世間の反応
7payの不正アクセス被害について世間の反応はこんな感じですね。
7payが教えてくれたのは「QRコード決済は危険」でも「クレカは危ない」でもなく「二要素認証を使わないのは危険」という話でしたね。
中国のスマホ決済は登録時に必ずSMS認証が入る上、携帯電話の解約や紛失の情報は銀行と連携しているのでSMSの不正も抑えてます。
— shao (Sho SAWADA) (@shao1555) July 3, 2019
7pay第三者に不正利用されても責任負わないって…
お金 盗られ放題やん(´・ω・`) pic.twitter.com/UWQU4qr2ge— まお (@mao_kila) July 3, 2019
7Payの不正使用の件、相当にヤバいことが判明してきた。「メアドと誕生日が漏れてたら乗っ取り放題」かつ「Omni7などの同社系列のネット通販も乗っ取られる可能性」「現時点でまだセブン側は放置の姿勢」という3点。対策は「過去に一度も使ったことないメアドに変えておく」ぐらい?……
— atmk (@atmk) July 3, 2019
7Payはセブンイレブンでしか使えないし、Famipayもファミリーマートでしか使えないし、もしかして日本全国どこの店でも使える現金っていうのは最強なのでは?!
— るい(14世) (@B747_300SR) July 3, 2019
7pay、パスワードリセット用の漏らしてはいけないリンクの送信先メールアドレスをパスワードリセットリクエスト画面上で指定可能で誕生日とか登録アドレスが合っていれば好きなアドレスで受信できてパスワード変更可能とかそのままサービス終了したほうが良いレベルなのでは
— ぶっく (@iedred7584) July 3, 2019
7payってnanacoがあるのに無理やりQR決済に参入したところとか、発表からリリースまでの短さとか、お粗末な実装とセキュリティとか、問題になった後の対応とか見てると、安全やら利便性は二の次で経営陣による社内政治が強く表に出たサービスだなぁと色々察しちゃうよね(´・_・`)
— さたけ❎ _ (@satake_take) July 3, 2019
結局セブンイレブンでしか使えないということは、そんなに便利ではないのでは?という声や、大手大企業でこんなトラブルが起きてるなんてヤバイという声が挙がっていました。
便利であっても、こんなリスクは負いたくないですよね。
まとめ
7payの不正アクセスの被害内容などを調査してみましたが、主にカードから勝手にチャージされそのまま決済に使用されていました。
中にはメールアドレスを不正に利用され、勝手に登録・チャージされていたなんて人もいましたね。
早く犯人に捕まってほしいですし、運営会社には早急に原因をつきとめてもらい対応してもらいたいですね。
7payの不正利用について開かれた記者会見については『小林弱とは誰?小林強社長が7pay記者会見で脆弱性露呈で炎上理由や原因と動画を調査!』の記事で詳しく紹介しているのでぜひ見てみてください。