本日4日14時ごろ、セブンペイの不正利用に関しての記者会見が開かれ、被害の全容が明らかになりました。
被害者、利用者への謝罪と詳しい経緯の説明が行われましたが、被害はとても深刻なものに。
サービスから開始してわずか4日。不正利用の原因と被害が遭っていないかの確認・遭ってしまった時の行動を徹底解説します。
「株式会社セブン・ペイ」が謝罪!
セブン&アイ ホールディングス関連子会社の「株式会社セブン・ペイ」が本日会見を開き、被害の経緯、ならびに被害者・利用者への謝罪が行われました。
被害の全容と経緯、発生した原因をまとめました。
被害総額は約5,500万円。被害者の数は900人にのぼる。
不正利用の被害の全容が明らかになりました。
被害者数:約900人
被害総額:約5,500万円
被害に遭ったのはセブンペイで「クレジット/デビットカード(セブン銀行デビットカード)」を登録してチャージを行っていた利用者が被害に遭っていました。
身に覚えのないチャージが立て続けに行われ、計19万5千円を不正利用されてしまう被害者も。
不正利用の使い道はセブンイレブンでのたばこ購入などに充てられたそうです。
なお、現在犯人の特定および逮捕に至っていません。
発生の経緯
事件の発生の経緯です。
- 1日、「セブンペイ」のサービス開始
- 2日、利用者から「身に覚えのない取引があった」と問い合わせが入る
- 3日、社内調査の結果、不正利用が発覚。緊急対応窓口とパスワード変更の呼びかけ。クレジットカードなどからのチャージを停止
7payで不正利用が発生。6万円以上の不正チャージと(ログオンできないから確認できないけど)不正利用。#7pay #不正利用 #サイバー犯罪 pic.twitter.com/p90XcSK1Jn
— 岬太郎 (@frogeye9999) July 2, 2019
サービス開始2日目で不正利用が行われ、当初はサポートセンターで「まともに取り合ってくれない」との声も上がっていました。
セキュリティの脆弱性
今回約5,500万円の甚大な被害を出した原因として
ポイント
7iDとコード決済を行うアプリのセキュリティに脆弱性があった
ということです。
7iDでは
「オムニ7」から7iDのパスワード設定を行う際に、「送付先メールアドレス」入力欄が設けられていました。
この入力欄があることで、確認URLを任意で送信先を自由に設定できてしまうのです。
ポイント
つまり、乗っ取り犯が自分のアドレスを入力して再設定してしまえばアカウントの乗っ取りは容易かったことになります。
現在は対応がされ、入力欄は無くなっています。今考えると「どうぞ乗っ取ってください!」くらいの脆弱性がありました。
「セブン-イレブンアプリ」では
セブンイレブンアプリは、「セブンペイ」を利用する際に必要なアプリです。
セブンペイを利用するには
- 「7iD」への会員登録
- セブンペイ利用ができるように2タップ登録を行う
この2つの手順が必要になります。
コード決済が行えるように有効化を行った後ですが、コードの表示を行う際に「パスコードや生体認証」などのセキュリティが設けられていませんでした。
「7pay(セブンペイ)」のコードをスクショで利用できるかについて pic.twitter.com/GkyKaiPOAd
— SNS_DAYS WRITER (@DaysWriter) July 2, 2019
下部のボタンをタップすることでコードが表示されてしまいます。
また、この「セブン-イレブンアプリ」の起動には
ポイント
パスコード(生体認証)のセキュリティが施されていない
スマホが起動していれば誰でも利用ができるという脆弱性があります。
なお、クレジットカードなどからチャージを行う際は、「認証パスワード」の入力が求められます。
このパスワードの構成が
- クレジット/デビットカード登録時に設定する認証パスワードとログインID・パスワードが同一のものになっている
- 自分の誕生日や簡単な数列のパスワード構成になっている
アプリ内のコード決済におけるセキュリティはたった1か所。これが被害を拡大させてしまった要因なのでしょうか。
上層部が「二段階認証」を正しく認識していない?
先ほど行われた会見の記者質問でのやり取りで
会見のやり取り
- 記者「ユーザー登録時に二段階認証をしているサービスがほとんどだと思うんですけど、セブンペイさんでそれをされなかった理由をお聞かせください。」
- 小林社長「...二段階認証・・・?」
個人情報、お金のやり取りを扱う事業でとてもシビアな部分を代表者が認識と理解をしていなかったということが露に。
アプリに強固なセキュリティが設けられていなかったのは提供会社の意識が低かったことを伺わせます。
乱立するバーコード決済業界の競争が仇になった
昨年からコード決済が利用できるようになり、今年に入ると一気に加速します。
各社ともに還元などのスペシャルイベントを実施するなどをして新規利用者獲得に力を入れてきました。
「利用できる店舗の拡大を」「全コンビニでも利用ができたら」
利用者のニーズに応えるべくして少しずつコード決済は利便性を増すと同時に、各企業でも独自の決済システムを導入し差別化を図ろうとしました。
そもそものなぜ各社が独自のコード決済などを開発、提供した理由ですが
ポイント
顧客情報、購買動向などの情報を取得
購買動向さえ知れば「何が売れる?」といったデータを商品別に細分化することもできるためです。
そうでないとわざわざ高額なお金を掛けてまで行う事業ではないです。
この競争の過熱により「急いで導入しなければ」という流れになってしまい、セキュリティが不十分な状態でサービスの利用を開始してしまったと考えられます。
今後の対応は
不正利用があった「セブンペイ」ですが、今後の対応をまとめました。
まだ未発表の情報がありますので、現時点で対応できる範囲でご紹介します。
被害者には全額補償(緊急対応窓口の番号も)
「株式会社セブン・ペイ」公式発表によりますと
ポイント
被害に遭われたお客様には、すべての被害に対して補償を行っています。
今回の不正利用に巻き込まれた方は、直ちに連絡を行いましょう。
緊急対応窓口
0120-192-044
非常に多くの問い合わせがあると予想されます。問い合わせには時間の余裕をもって行いましょう。
7/4時点で「セブンペイ」の新規登録とチャージをすべて中止。再開の目途なし
不正利用の原因究明と再発防止のため、現在はセブンペイへの新規登録、現金、店頭を含むすべてのチャージを中止しています。
チャージ方法の選択ができない状態になっています。再開の目途は立っておりません。
コード決済は現在も利用可能
セブンペイ内に残高がある場合は、現在もセブンイレブンでコード決済を行うことができます。
不正利用があったため、早めの利用をおすすめします。
利用者がいま取るべき行動
セブンペイを利用している方が取るべき行動をまとめます、
一部のサービスを提供しましたが、被害に遭っていない方も万が一に備えて対策を取りましょう。
カードを登録している場合は直ちに連携を解除すること
セブンペイのチャージにカードを登録してい方は、直ちに登録を削除しましょう。
「メニュー」の「登録カード一覧」をタップします。
該当するカードタイプを選択します。
登録中のカード名右側に「削除」があります。
「削除する」で登録が解除されました。
新規利用は対策が取られてから
セブンペイを新規に利用する方は、運営側が十分な対策を取ってから利用するようにしましょう。
現在は新規登録ができないようになっています。
残高がある場合はなるべく早めに
セブンペイに残高がある利用者は、念のため早めに利用しておくのが良いかもしれません。
現在は対策が取られていますが、油断は禁物です。
いつ再発してもおかしくない状況ですので、特に高額なチャージをしてしまった方は早めに利用しましょう。
「7iD」退会を検討する(退会方法手順付き)
開始から間もないですが、サービス提供には信頼が大きく揺らいだと思われます。
今回の事件を通じ、利用に不安がある方は退会を検討するのも一つの手段です。
実際にどれくらいの人数の情報が盗まれてしまったのかも未だ判明していないため、不安はかなり大きいものです。
注意ポイント
「7iD」を退会すると、セブンペイ残高や関連サービスの連携などがすべて消去されます!
「7iD」退会方法
アプリトップ画面内の左上の「メニューアイコン」をタップします。
項目内の「7iD会員情報」から一番下までスクロールし、「退会する」をタップしましょう。
入力必須項目を埋め、退会理由を選択します。
「その他」以外で回答するとスムーズです。
セブンペイ残高が消えてしまいます!使い切りましたか?
内容を確認して「退会する」をタップすると完了です。
被害に遭っていないか確認したい
「自分が不正利用の被害に遭っていないか?」についての確認方法などをまとめました。
もし不安がある方は「緊急対応窓口」に問い合わせを行うことをおすすめします。
アプリから履歴を確認する
利用履歴は「セブン-イレブンアプリ」から確認できます。
「残高・履歴」タブで履歴が表示されます。
もし身に覚えのないチャージや利用があった場合は、直ちに対応を取りましょう。
メールを確認する
チャージや利用があると、登録してあるメールアドレス宛に「利用通知」が届きます。
この通知は仕様上、配信停止にすることができませんので必ず届きます。
不審な使われ方がすぐに判明しますので、受信履歴も併せて確認してみましょう。
被害に遭っていた場合の行動は?
被害に遭っていた場合の対処法をご紹介します。
まず本件の被害に遭われた方には「補償」がされます。落ち着いて対応するように心がけましょう。
【最優先】カードを停止する
ポイント
直ちに登録したカードを停止してもらう
面倒化とは思いますが、これ以上の被害を止めるために必要な行動です。
カード情報が犯人側に渡っている可能性を考えると、セブンペイ以外で不正利用がされてしまう恐れがあります。
被害に遭った方は「警察に被害届を出す」必要もあります。
- カード会社に連絡をして、カードを止めてもらう。
- 警察に被害届を出す。(盗難届/紛失届)
- 警察から発行された受付番号をカード会社に連絡する。
- カード会社から送られてくる必要書類に記入する。
- 新しい番号でカードが再発行、到着を待つ。
- 新しいカードが届いた後は、引き落とし口座を再登録する。
セブンペイ側とカード会社の両方に連絡をし、指示を仰ぎましょう。
緊急窓口に問い合わせ
被害に遭われた方の窓口は
緊急対応窓口
0120-192-044
上記にて受け付けています。
「7pay(セブンペイ)」で不正利用が発生!!詳細と対処法を徹底解説
他にキャンペーンの多いオススメの電子マネーは?
PayPay(ペイペイ)
PayPayの魅力としては、まずお得さが挙げられます。
ペイペイは「ワクワクペイペイ」などの高還元率のキャンペーンが毎月行われています。これまで継続的に10%~20%程の高還元率を受けることができましたし、これからもワクワクペイペイキャンペーンは続けられていくものと思われます。
↑上記からダウンロード出来ます
ワクワクペイペイでは還元の上限も高く設定されており、月に最大で30000円還ってきます。更に、PayPayでは銀行口座からのチャージなら常時3%が還元が行われていますし、20回に1回最大で1000円還ってくるPayPayチャンスも好評を得ています。
更に、PayPayは銀行口座とクレジットカードの2つの方法でチャージできるのも魅力です。中でもYahoo!マネーカードによるチャージであれば、3%の還元に加えて1%がTポイントが付与され、実質4%の還元を受けることができます。
↑上記からダウンロード出来ます
また、PayPayには手数料無料で残高を他の人に送金できるサービスもあります。知り合いに立替えて貰った時や皆で割り勘をする時など、大変便利です。
多くの便利機能が魅力的なPayPayですが、更に大切なポイントとしては知名度が高いという事でしょう。現在様々なコード決済がありますが、PayPayは「100億円あげちゃうキャンペーン」などでユーザーも増加し、多くの知名度ランキングで上位にランクインしています。
↑上記からダウンロード出来ます
PayPayのおすすめポイント
- 毎月高還元のキャンペーンを行っている
- 常に3%のポイント還元
- 銀行口座とクレカでチャージできる
- 送金ができる
- ユーザーが多い
