セブン・ペイ スマホ決済で不正利用、5500万円の被害、「パスワード再設定」に不備も
2019年 7月12日 13:20
この続きは、『通販新聞』のご購読者様のみ閲覧いただけます。
ご購読者様は、ログイン後すぐにウェブ上でこの続きを閲覧いただけます。
週刊通販新聞とは
わが国唯一の通販市場の週刊専門紙です。通信販売業界の健全発展推進を編集ポリシーとし、様々な情報を詳しくお伝え致します。
2019年 7月12日 13:20
この続きは、『通販新聞』のご購読者様のみ閲覧いただけます。
ご購読者様は、ログイン後すぐにウェブ上でこの続きを閲覧いただけます。
わが国唯一の通販市場の週刊専門紙です。通信販売業界の健全発展推進を編集ポリシーとし、様々な情報を詳しくお伝え致します。
2024年12月 5日 12:00
2024年12月 5日 12:00
2024年12月 5日 12:00
2024年12月 5日 12:00
2024年12月 5日 12:00
2024年12月 5日 12:00
2024年11月28日 12:00
2024年12月 5日 12:00
2024年 2月 8日 12:00
2023年 7月20日 12:00
2024年 4月11日 12:01
2024年12月 5日 12:00
2024年10月24日 12:00
2024年 9月19日 12:00
2024年12月 5日 12:00
2024年11月28日 12:00
2024年12月 5日 12:00
2023年 8月24日 12:00
2024年12月 5日 12:00
2024年 2月 8日 12:00
2024年10月24日 12:00
2024年12月 5日 12:00
2024年11月28日 12:00
2024年12月 5日 12:00
2024年11月25日 09:00
2024年10月24日 12:00
2023年 8月24日 12:00
2024年11月28日 12:00
2024年 2月 8日 12:00
2024年11月14日 12:00
2024年11月 7日 12:08
2023年 7月20日 12:00
2024年 9月19日 12:00
2024年 4月11日 12:01
2024年11月25日 09:00
セブン&アイ・ホールディングス(HD)グループでスマートフォン決済を手がけるセブン・ペイは7月4日、1日からスタートしたスマートフォン決済サービス「7pay(セブンペイ)」において、第三者による不正利用が発生したと発表した。同社では原因は調査中としているが、一部ではパスワードリセット機能に不備があったとの指摘も出ており、サービス再開の見通しは立っていない。
手口は、何者かが利用者のアカウントに不正アクセスし、本人になりすましてクレジットカードやデビットカードからアカウントにチャージ、セブン―イレブン店頭で買い物をするというもの。4日6時の段階で、不正アクセスが疑われる人数は約900名、被害金額は5500万円となる。不正アクセスは中国など、海外のIPアドレスからされたものがほとんどだった。同社では被害者に全額補償する方針。
サービス開始の翌日となる、2日に「身に覚えのない取引があったようだ」と問い合わせが顧客からあり、事態が発覚。3日にはクレジットカードとデビットカードによるチャージを停止し、4日にセブン―イレブン店頭レジとナナコポイントからのチャージを取りやめ、全てのチャージを一時停止した。なお、決済は停止していないため、アカウントにチャージした金額分は利用することができる。
不正アクセスが起きた原因については「これから改めて専門家を入れて調査する」(セブン&アイHDの清水健執行役員)としており、セブン・ペイでは5日に「セキュリティ対策プロジェクト」を立ち上げた。
7payは「セブン―イレブンアプリ」の1機能であり、ユーザーが同アプリを利用するには、グループの共通ID「7iD」に登録する必要がある。セキュリティーの専門家からは、7iDに紐づくパスワードを忘れた場合に使う、「パスワードリセット機能」に不備があったとの指摘が出ている。
通常、パスワードリセットをウェブから申請した場合、運営者は再登録用URLを、ユーザーが登録したメールアドレスにのみ送信する。7iDのリセット申請はグループの通販サイト「オムニ7(セブン)」内のページから行う仕組みだが、その際に登録時のメールアドレス以外のアドレスも指定できるようになっていた。そのため、IDとして利用しているメールアドレスと、電話番号、生年月日が分かれば、第三者でも勝手に再設定ができるため、不正アクセスが可能となる。
清水執行役員は「パソコンからリセットする場合、(登録時に使った)携帯電話キャリアのメールアドレスが使えないこともあり、そうした人に便宜を図った」とこうした仕様にした理由を説明した。この手口で不正アクセスされたかどうかは不明だが、オムニ7では4日夜、登録外のメールアドレスを指定できないように修正した。
パスワードリセットがずさんなことに代表されるように、7iDのセキュリティー体制に不備があった可能性もあるが、セブン&アイHDでは「グループのあらゆるサービスやアプリは、サービスインの前にシステムのセキュリティー審査をしていて、ぜい弱性は指摘されていない」(清水執行役員)と説明する。同社の広報センターによれば、こうした審査は「ペネトレーションテスト(侵入テスト)などを中心に実施した」という。
では、一般的なぜい弱性診断を行う上で、パスワードリセットの問題を見落とすケースはあるのだろうか。ウェブアプリケーションのセキュリティーに詳しい、EGセキュアソリューションズの徳丸浩代表取締役は「そもそも診断対象でなかったケースも考えられるが、パスワードリセットはセキュリティー上重要かつ、ぜい弱性が入りやすい箇所なので、診断対象から外すことは不自然に思える」と指摘する。その上で「ぜい弱性診断で問題なしとされた後、パスワードリセットの機能が追加されたか、あるいはツール診断では発見できない問題なので、ツール診断のみのベンダーに調査を依頼したか、手動でも力量の足らない診断員が担当していた可能性もある」と推測する。